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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 .电子 银行 .电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突 出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 、 数 学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 释 .知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安 全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 ,素质 协调 发 展 创造 条 件 。 

G) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建 设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 教 
学 参考 书 , 文 字 教 材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


21 世纪 高 等 学 校 信息 安全 专业 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 


前 癌 


从 信息 技术 发 展 的 历程 来 看 ,信息 安全 已 由 20 世纪 80 年 代 的 被 动 保 密 发 展 到 20 世纪 

90 年 代 的 主动 保护 ,继而 发 展 到 21 世纪 的 信息 全 面 保障 。 

本 书 从 信息 时 代 的 战争 引出 电子 战 .网 络 战 的 概念 ,进而 介绍 相关 的 通信 保密 技术 
与 网 络 安全 技术 。 在 讲述 密码 技术 、 通 信保 密 技术 时 ,结合 一 些 新 知识 ,如 量子 密码 \ 信 
息 隐 藏 ,无线 安 全 等 内 容 , 使 读者 对 相关 的 前 沿 知识 有 所 了 解 。 在 讲述 计算 机 网 络 安全 技 
AR .日常 上 网 的 安全 防范 时 ,注意 理论 联系 实际 ,结合 一 些 常 用 计算 机 攻防 软件 的 使 用 ,使 
学 生 能 够 将 所 学 的 知识 应 用 到 日 常生 活 中 。 本 书 试图 使 读者 从 宏观 上 对 信息 对 抗 和 网 络 
安全 有 一 个 比较 全 面 的 了 解 ,从 微观 上 掌握 如 何 保护 信息 安全 、 防 范 攻击 的 具体 方法 。 

第 1 章 介绍 信息 对 抗 与 网 络 安全 的 基本 概念 ; 第 2 章 介 绍 密码 学 的 基本 概念 以 及 
如 何 使 用 密码 技术 实现 加 密 与 破解 ; 第 3 章 介 绍 数据 .语音 和 图 像 的 通信 保密 技术 ; 第 
4 章 介绍 如 何 防范 黑客 使 用 病毒 、, 木 马 .扫描 、 嗅 探 \ 攻 击 进行 人 侵 , 如 何 使 用 防火 墙 . 人 
侵 检测 技术 .数据 备份 和 数据 急救 进行 安全 保障 ; 第 5 章 介 绍 电子 邮件 、 网 络 浏览 、 网 
络 聊天 和 网 络 购物 的 安全 防范 。 

根据 几 十 所 高 校 使 用 第 1 版 教材 的 反馈 情况 以 及 信息 安全 技术 不 断 发 展 的 需要 ， 
在 第 2 版 中 进行 了 如 下 修订 : 第 4 章 新 增 了 ARP 欺骗 攻击 、 数 据 库 攻击 、 防 火 墙 的 发 
展 趋势 .Ghost 备份 等 内 容 ; 第 5 章 新 增 了 反 垃 圾 邮件 “网 络 钓鱼 "及 其 防范 、 浏 览 器 
安全 ,网络 购物 安全 防范 等 内 容 ; 按照 信息 安全 技术 的 发 展 对 部 分 文字 进行 了 修改 ,新 
增 了 部 分 案例 ,对 原 有 案例 中 涉及 的 软件 采用 中 文 版 或 最 新 版 进行 了 改写 。 

信息 安全 技术 是 一 门 实践 性 很 强 ,发展 很 快 的 学 科 , 在 教学 过 程 中 可 以 通过 各 种 方 
法 提高 学 生 的 实际 动手 能 力 和 自学 能 力 ,编者 在 这 方面 做 了 一 些 尝试 ,有 兴趣 的 读者 可 
以 通过 编者 的 Blog 网 站 http://hein. blogen. com BK http; //blog. sina. com. cn/heinhe 
一 起 探讨 。 此 外 ,在 精品 课程 网 站 http://jpkc. shiep. edu. cn/?courseid 一 20065305 上 
提供 了 教学 大 纲 .电子 教案 .模拟 试卷 .习题 答案 、 实 践 教学 .视频 课件 、 交 互 课 件 、 素 材 
下 载 等 模块 供 各 位 教师 参考 。 

由 于 编者 的 水 平和 经 验 有 限 , 书 中 的 缺点 和 下 漏 之 处 在 所 难免 ,县 请 有 关 专 家 和 读 
者 批评 指正 。 


编 者 
2010 年 1 月 
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第 1 童 信息 对 抗 与 网 络 安全 概述 


信息 已 成 为 支撑 国家 政治 、 经 济 .军事 .科技 的 重要 战略 资源 ,信息 安全 是 保护 信息 资源 
的 基础 ,没有 信息 安全 ,就 没有 政治 .军事 和 经 济 安全 ,就 没有 完整 意义 上 的 国家 安全 。 

信息 安全 起 源 于 文字 和 话音 的 保密 ,是 一 门 涉及 计算 机 科学 .网络 技术 ,物理 学 .管理 科 
学 .通信 技术 、 密 码 技术 ,信息 安全 技术 、 应 用 数学 、 数 论 \ 信 息 论 乃 至 生物 学 等 多 种 学 科 的 边 
缘 性 综合 学 科 。 

从 信息 技术 发 展 的 历程 来 看 ,信息 安全 已 由 20 世纪 80 年 代 的 被 动 保密 发 展 到 20 世纪 
90 年 代 的 主动 保护 ,继而 发 展 到 21 世纪 初 的 信息 全 面 保障 。 

20 世纪 80 年 代 前 ,信息 安全 的 唯一 属性 就 是 信息 的 保密 性 ; 20 世纪 80 年 代 期 间 , 扩 
大 到 了 信息 的 完整 性 、 可 用 性 、 可 审计 性 和 可 认证 性 ; 到 了 20 世纪 90 年 代 , 其 内 涵 已 扩展 
到 了 信息 的 可 控 性 。 

计算 机 网 络 的 出 现 和 发 展 ,特别 是 Internet 日 新 月 异 的 迅猛 发 展 ,使 人 类 对 于 信息 的 开 
发 和 应 用 达到 了 一 个 空前 的 高 度 。 先 进 的 计算 机 系统 已 把 军队 乃至 整个 社会 联络 在 一 起 ， 
在 未 来 网 络 世界 里 ,每 个 芯片 都 是 一 种 潜在 的 武器 ,每 台 计 算 机 都 有 可 能 成 为 一 个 有 效 的 作 
战 单元 ,一 位 平民 百姓 可 能 编制 出 实施 信息 战 的 计划 ,并 付 诸 实施 。 任 何 社会 团体 或 个 人 ， 
只 要 掌握 了 计算 机 通信 技术 ,只 要 拥有 一 台 计 算 机 和 入 网 线路 ,就 可 以 攻击 装 有 芯片 的 系统 
和 接 入 网 络 的 装备 ,利用 网 络 来 发 动 一 场 特殊 战争 。 

从 目前 的 技术 看 ,计算 机 网 络 具 有 很 大 的 脆弱 性 , 极 易 被 黑客 人 侵 。 如 果 敌 对 国运 用 网 
络 犯罪 手段 进行 经 济 干扰 和 破坏 ,足以 使 当 事 国 经 济 骨 溃 。 一 些 国家 正在 开发 研制 的 “超级 
病毒 ”和 电磁 脉冲 装置 ,就 可 以 对 敌国 的 银行 .证 券 交 易 .空中 交通 管制 .电话 .电视 网 、 发 电 
站 、 电 力 网 系统 进行 打击 ,造成 国家 经 济 瘫痪 。 

随 着 科学 技术 的 发 展 和 社会 生产 结构 的 变化 ,国家 安全 赖 以 存在 的 基础 也 发 生 了 变化 ， 
从 原来 的 国土 ,资源 .军队 等 有 形 的 东西 为 主 , 转 变 为 以 信息 和 知识 等 无 形 的 东西 为 主 ,使 信 
息 安全 成 为 国家 安全 的 基础 。 信 息 安全 不 能 得 到 保障 ,国家 就 会 经 济 紊乱 .政治 失 稳 .军事 
失效 ,文化 迷失 技术 落后 ,进而 影响 到 国家 在 国际 上 的 地 位 和 形象 。 


1.1 信息 时 代 的 战争 


信息 战 是 以 计算 机 为 主要 武器 ,以 覆盖 全 球 的 计算 机 网 络 为 主 战场 ,以 攻击 敌 方 的 信息 
系统 为 主要 手段 ,以 数字 化 战场 为 依托 ,以 信息 化 部 队 为 基本 作战 力量 ,运用 各 种 信息 武器 
和 信息 系统 ,围绕 着 信息 的 获取 、 控 制 和 使 用 而 展开 的 一 种 新 型 独特 的 作战 形式 。 

信息 战 的 出 现 是 信息 社会 中 信息 技术 高 度 进步 的 必然 产物 ,是 信息 技术 发 展 和 它 在 军 
事 领 域 中 广泛 应 用 的 结果 。 信 息 对 抗 的 手段 越 来 越 多 ,范围 越 来 越 大 ,信息 优势 在 战争 中 的 
主导 作用 越 来 越 明 显 。 人 们 开始 像 重 视 “ 制 海 权 ”“ 制 空 权 ” 一 样 重视 “ 制 信息 权 ”, 有 意 地 将 
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各 种 信息 技术 和 武器 装备 综合 、 系 统 地 加 以 运用 ,展开 全 面 的 信息 对 抗 , 使 得 信息 对 抗 由 一 
种 辅助 性 的 作战 行动 上 升 为 关键 性 的 ,甚至 是 决定 性 的 作战 形式 ,从 而 形成 了 信息 战 理论 。 

信息 战 的 目的 是 夺取 信息 优势 ,其 核心 是 保护 己方 的 信息 资源 ,攻击 敌 方 的 信息 系统 ， 
是 全 方位 的 攻防 兼 有 的 信息 对 抗 行动 。 信 息 战 的 最 终 目标 是 信息 系统 赖 以 生存 和 运转 的 基 
础 一 一 计算 机 网 络 。 

信息 战 的 本 质 是 围绕 争夺 信息 控制 权 的 信息 对 抗 ,计算 机 病毒 可 以 作为 一 种 “以 毒 攻 
毒 * 的 信息 对 抗 手段 。 

大 量 的 安全 事件 和 研究 成 果 揭 示 出 信息 系统 中 存在 许多 设计 缺陷 ,存在 情报 机 构 有 意 
埋设 安全 陷阱 的 可 能 。 例 如 ,在 发 达 国 家 现 有 技术 条 件 下 ,CPU 中 可 以 植 人 无 线 发 射 接 收 
功能 ; 操作 系统 、 数 据 库 管 理 系 统 或 应 用 程序 中 能 够 预先 安置 从 事情 报 收集 、 受 控 激发 破坏 
功能 的 程序 。 通 过 这 些 程序 ,可 以 接收 特殊 病毒 、 接 收 来 自 网 络 或 空间 的 指令 ,触发 CPU 
的 自杀 功能 、 搜 集 和 发 送 敏感 信息 ; 通过 特殊 指令 在 加 密 操作 中 将 部 分 明文 隐藏 在 网 络 协 
议 层 中 传输 等 。 而 且 , 通 过 唯一 识别 CPU 个 体 的 序列 号 ,可 以 主动 .准确 地 识别 .跟踪 或 攻 
击 一 个 使 用 该 芯片 的 计算 机 系统 ,根据 预先 设 定 收集 敏感 信息 或 进行 定向 破坏 。 

由 于 信息 系统 安全 的 独特 性 ,人 们 已 将 其 用 于 军事 对 抗 领域 。 目 前 信息 对 抗 理论 与 技 
术 主 要 包括 : 黑客 防范 体系 .信息 伪装 理论 与 技术 .信息 分 析 与 监控 人 侵 检测 原理 与 技术 、 
反击 方法 ,应急 响应 系统 、. 计 算 机 病毒 、 人 工 免疫 系统 在 反 病 毒 和 抗 人 侵 系统 中 的 应 用 等 。 


1.1.1 信息 战 的 主要 内 容 


信息 战 的 内 容 涉 及 到 在 信息 领域 中 战胜 被 攻击 对 象 的 所 有 行动 ,其 对 抗 的 双方 彼此 利 
用 信息 技术 和 信息 武器 ,在 整个 信息 战 的 各 个 层面 .各 个 环节 针对 对 方 的 信息 目标 实施 有 效 
的 攻击 或 反攻 击 。 

信息 战 的 主要 内 容 包括 信息 保障 .信息 防护 和 信息 对 抗 。 

(1) 信息 保障 : 掌握 敌我 双方 准确 .可 靠 和 完整 的 信息 ,及 时 捕获 信息 优势 ,为 信息 战 
提供 切实 可 行 的 依据 。 

(2) 信息 防护 : 在 敌 方 开始 对 我 方 实施 信 息 攻击 时 ,为 确保 我 方 的 信息 系统 免 遭 破坏 
而 采取 的 一 系列 防御 性 措施 ,保护 我 方 的 信息 优势 不 会 受到 损害 。 

(3) 信息 对 抗 : 打击 并 摧毁 敌 方 的 信息 保障 和 信息 保护 的 一 整套 措施 。 

其 中 信息 保障 是 关键 , 它 用 于 确保 信息 防护 措施 和 信息 对 抗 措施 的 有 效 运作 。 


1.1.2 信息 战 的 主要 形式 


信息 战 有 多 种 分 类 方法 , 按 作战 性 质 可 以 分 为 信息 进攻 战 和 信息 防御 战 。 

1. 信息 进攻 战 

信息 进攻 战 由 信息 侦察 、 信 息 干扰 和 破坏 “ 硬 * 武 器 的 打击 三 部 分 组 成 。 包 括 偷 穷 数 
据 、 散 播 错误 信息 否认 或 拒绝 数据 存 取 、 从 物理 上 摧毁 作为 数据 存储 和 分 发 的 部 分 磁盘 及 
武器 平台 与 设施 。 

2. 信息 防御 战 

信息 防御 战 指针 对 敌人 可 能 采取 的 信息 攻击 行为 ,采取 强 有 力 的 措施 保护 己方 的 信息 
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系统 和 网 络 , 从 而 保护 信息 的 安全 。 

信息 战 防御 体系 由 信息 保护 、 电 磁 防 护 、 物 理 防 护 三 大 方面 组 成 ,通过 使 用 病毒 检查 、 嗅 
探 器 、 密 码 和 网 络 安 全 系统 抵御 敌 方 的 进攻 。 

3. 信息 进攻 战 与 信息 防御 战 的 关系 

在 信息 化 战争 中 ,信息 进攻 手段 将 异彩 纷呈 ,信息 防御 虽然 会 水 涨 船 高 ,但 只 防 不 攻 ,很 
难 从 根本 上 取得 信息 优势 。 因 此 ,严密 的 信息 防御 也 必须 是 积极 主动 的 攻势 防御 ,只 有 将 信 
息 进攻 与 信息 防御 有 机 结合 起 来 ,以 攻 为 主 ,互相 支援 配合 ,才能 从 根本 上 夺取 信息 优势 。 

海湾 战争 中 ,由 于 伊拉克 军队 在 信息 对 抗 领域 的 指导 思想 是 一 味 采取 消极 防御 策略 , 尽 
管 其 隐蔽 、 伪 装 取得 了 一 定 的 成 效 ,但 由 于 没有 采取 积极 有 效 的 信息 进攻 策略 ,结果 在 多 国 
部 队 强大 的 信息 攻势 面前 始终 摆脱 不 了 十 分 被 动 的 局 面 。 相 反 ,在 科索沃 战争 中 , 面 对 北 约 
强大 的 信息 攻势 ,处 于 信息 劣势 的 南 联盟 采取 隐蔽 .伪装 规避、 控制 等 信息 防御 的 同时 , 积 
极 主动 地 采取 多 种 手段 ,与 北约 部 队 展 开 信息 优势 的 争夺 ,结果 取得 了 包括 击落 F-117A 隐 
形 飞 机 和 大 量 巡 航 导 弹 的 不 菲 战 果 。 

要 打 启 一 场 信息 战 ,关键 在 于 如 何 有 效 地 保障 自身 信息 系统 的 安全 性 。 因 此 ,在 信息 战 
中 ,防御 占 9, 进 攻占 1。 


1.1.3 信息 战 的 主要 武器 


按照 作战 性 质 划分 ,信息 战 的 主要 武器 分 为 进攻 性 信息 战 武器 和 防御 性 信息 战 武 器 两 
大 类 。 

进攻 性 信息 战 武器 或 技术 主要 有 计算 机 病毒 .蠕虫 .特洛伊 木马 .逻辑 炸弹 、 芯 片 陷阱 、 
纳米 机 器 人 ,芯片 微生物 .电子 干扰 ,高 能 定向 武器 .电磁 脉冲 炸弹 .信息 其 骗 和 密码 破译 等 。 

防御 性 信息 战 武器 和 技术 主要 有 密码 技术 .计算 机 病毒 检测 与 清除 技术 .网络 防火 墙 、 
信息 设施 防护 .电磁 屏蔽 技术 、 防 窃听 技术 ,大 型 数据 库 安 全 技术 .访问 控制 .审计 跟踪 、 信 息 
隐蔽 技术 .入 侵 检测 系统 和 计算 机 取证 技术 等 。 

1. 软件 武器 

软件 武器 主要 包括 计算 机 病毒 .逻辑 炸弹 和 特洛伊 木马 。 

1999 年 以 来 ,全 球 爆 发 的 梅 莉 莎 .CIH 病毒 等 ,使 世界 各 地 不 少 计算 机 系统 遭 到 破坏 ， 
损失 巨大 ,这 实际 上 就 是 信息 战 的 一 种 形式 一 一 计算 机 病毒 战 , 而 这 些 武器 的 生产 都 是 在 民 
间 进 行 的 ,至 少 名 义 是 ,目前 还 没有 哪 一 个 国家 敢 承认 它 是 这 些 病毒 的 制造 者 。 

1990 年 海湾 战争 时 期 ,美军 把 具有 神经 网 络 细胞 式 的 自我 变异 功能 的 病毒 程序 注入 伊 
拉克 国家 通信 网 接口 ,在 美军 正式 进攻 前 ,伊拉克 情报 系统 有 一 半 的 计算 机 遭 到 破坏 ,甚至 
连战 斗 机 上 的 计算 机 也 感染 了 该 病毒 。 

2. 芯片 陷阱 

对 计算 机 芯片 进行 修改 ,使 芯片 有 优先 接受 特定 指令 的 能 力 , 只 要 卫星 系统 发 出 命令 ， 
使 用 这 些 芯片 的 信息 系统 就 会 发 生 逻 辑 错 误 甚至 骨 溃 。 

海湾 战争 爆发 前 不 久 ,美国 派 特工 人 员 偷 偷 用 一 套 带 有 计算 机 病毒 的 同类 芯片 换 下 了 
伊拉克 购买 的 计算 机 打印 机 中 的 芯片 。 战 争 爆发 后 ,美国 用 指令 激活 了 伊拉克 防空 系统 计 
算 机 打印 机 内 的 计算 机 病毒 ,病毒 通过 打印 机 侵入 防空 系统 的 计算 机 中 ,使 整个 防空 系统 的 
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计算 机 陷于 瘫痪 。 

3. 纳米 机 器 人 和 芯片 微生物 

纳米 机 器 人 是 一 些 外 形 类 似 黄蜂 和 苍蝇 ,会 飞 、 会 候 的 纳米 系统 ,可 以 被 导弹 或 炸弹 等 
武器 投放 到 敌人 信息 系统 或 武器 系统 附近 ,通过 缝隙 或 插口 钻 进 计 算 机 ,破坏 电子 线路 。 

芯片 微生物 是 经 过 特殊 培育 的 ,能 毁坏 计算 机 硬件 的 一 种 细菌 , 它 通 过 某 种 途径 进入 计 
算 机 ,能 像 吞 哈 垃 圾 和 石油 废料 的 微生物 一 样 , 哮 食 硅 集 成 电路 ,对 计算 机 造成 破坏 。 

4. 高 能 定向 武器 

高 能 定向 武器 对 电子 目标 发 射 高 能 无 线 电 信和 号 ,使 其 功能 失灵 ,如 高 能 射频 枪 。 

高 能 射频 枪 是 一 种 无 线 电 发 射 机 ,可 以 对 一 个 电子 目标 发 射 大 功率 无 线 电信 号 ,使 其 对 
外 部 磁场 敏感 的 电子 线路 出 现 电路 超载 ,发 生 故障 ,从 而 使 遭 到 攻击 的 信息 系统 无 法 工作 ， 
甚至 使 整个 网 络 系统 失灵 。 

5. 电磁 脉冲 炸弹 

另 一 种 摧毁 性 武器 就 是 能 量 比 高 能 射频 枪 大 ,以 光速 发 射出 去 的 电磁 脉冲 , 它 能 使 受 攻 
击 的 计算 机 内 部 元 件 熔化 。 

电磁 脉冲 炸弹 可 以 有 效 地 破坏 和 干扰 敌 方 的 计算 机 及 网 络 等 电子 通信 设备 , 它 产生 的 
超 强 电磁 场 , 足 以 破坏 任何 计算 机 设备 。 

电磁 大 帮 炸 是 科索沃 战争 采用 的 手段 之 一 ,通过 电磁 干扰 ,使 得 南斯拉夫 的 防空 系统 陷 
于 瘫痪 状态 ,无 法 积极 有 效应 战 ,处 于 被 动 挨 炸 的 地 步 。 


1.1.4 信息 战 的 种 类 


信息 战 包括 指 挥 与 控制 战 .情报 战 . 电 子 战 .网 络 战 .心理 战 .空间 控制 战 .黑客 战 . 虚 拟 
战 、 经 济 战 等 。 

电子 战 部 队 利用 通信 对 抗 . 雷 达 对 抗 ,光电 对 抗 , 空 间 对 抗 等 各 种 电子 战 手段 ,对 敌人 的 
战场 指挥 系统 和 武器 控制 系统 进行 强烈 的 和 干扰。 使 敌人 全 面 丧 失 战斗 力 。 

网 络 战 部 队 利 用 有 线 注入 .无线 注 入 等 各 种 手段 ,将 病毒 植 入 敌 方 的 网 络 之 中 。 不 但 能 
使 敌人 的 战场 指挥 网 络 失灵 ,更 能 使 敌国 金融 混乱 、 股 市 崩溃 、 交 通 瘫痪 ,经 济 全 面 衰退 , 直 
至 完全 丧失 抵抗 能 力 。 

心理 战 部 队 利用 各 种 现代 信息 传播 手段 ,以 前 所 未 有 的 速度 、 无 所 不 在 的 广度 、 对 敌人 
进行 全 方位 的 心理 攻击 ,使 敌人 军心 澳 散 、 民 心动 播 .斗志 丧失 、 精 神 骨 溃 。 


1.2 电子 战 


电子 战 , 也 叫 电 磁 战 , 是 利用 电磁 频谱 进行 的 斗争 和 对 抗 。 其 对 抗 的 基本 形式 是 侦察 与 
反 侦 察 .干扰 与 反 干扰 、 摧 毁 与 反 摧毁 。 目 的 在 于 削弱 、 破 坏 敌 方 电子 设备 的 使 用 效能 和 保 
护 已 方 电子 设备 正常 发 挥 效能 。 

电子 战 是 随 着 电子 武器 装备 的 发 展 而 发 展 的。 无 线 电 的 发 明 并 应 用 于 军事 ,出 现 了 念 
听 与 反 窃听 、 破 译 与 反 破 译 的 装备 与 对 抗 ; 伴随 雷达 的 发 明 与 发 展 ,出 现 了 雷达 探测 与 反 探 
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测 的 对 抗 ; 光电 技术 在 装备 上 的 应 用 ,出 现 了 光电 对 抗 ; 计算 机 技术 的 飞速 发 展 , 出 现 了 计 
算 机 网 络 的 对 抗 。 

信息 时 代 的 电子 战 , 其 频谱 范围 己 从 无 线 电 射频 扩展 到 声波 、 光 波 频段 ,电子 战 的 作战 
领域 也 已 经 扩展 到 深海 和 太空 。 原 来 以 通信 和 雷达 对 抗 为 主 的 电子 战 ,发 展 到 现代 战场 
C4ISR (Command, Control, Communication, Computer & Intelligence, Surveillance, 
Reconnaissance, 484% FE til 3H fri i+ OLS RAR ME) ABE TAA MEA RT. EF 
手段 也 由 以 软 杀伤 为 主 , 发 展 到 软 杀伤 和 硬 摧毁 相 结合 。 它 以 最 广泛 的 渗透 性 进入 军事 
斗争 的 各 个 领域 ,成 为 未 来 信息 战场 的 核心 和 支柱 。 


1.2.1 电子 战 的 历史 


人 类 战争 史上 比较 公认 的 第 一 次 电子 战 出 现在 1904 年 2 月 的 日 俄 战争 中 ,日 方 试图 通 
过 无 线 电 通信 把 正确 的 射击 指令 传送 给 装甲 巡洋舰 。 然 而 ,俄国 基地 的 一 个 报 务 员 听 到 了 
日 方 舰艇 之 间 正 在 进行 信息 交换 ,意识 到 了 它 的 重要 性 ,本 能 地 按 下 了 当时 无 线 电 通信 设备 
的 火花 发 射 机 的 按键 ,对 日 方 舰艇 之 间 的 通信 实施 了 干扰 。 结 果 在 那天 的 海战 中 ,由 于 日 方 
的 正确 射击 指令 受到 了 干扰 ,俄国 军舰 几乎 无 一 损伤 。 

第 二 次 世界 大 战 之 后 ,雷达 技术 得 到 迅速 发 展 ,雷达 的 探测 距离 .跟踪 精度 分辨 能 力 都 
有 了 进一步 的 提高 ,飞机 、 导 弹 、 卫 星 、 舰 艇 、 火 炮 都 装备 了 先进 的 雷达 。 人 们 针对 雷达 制导 
系统 研制 出 了 各 种 欺骗 干扰 装备 和 器 材 , 还 研制 出 了 专门 对 付 雷 达 的 反 辐 射 导 弹 , 以 及 专门 
用 于 电子 对 抗 的 电子 战 飞机 。 

20 世纪 60 年 代 , 越 南 战争 初期 , 越 军 平均 发 射 2 一 3 枚 地 对 空 导弹 就 能 击落 1 架 美 军 
飞机 。20 世纪 70 年 代 , 由 于 美军 在 飞机 上 安装 了 雷达 报警 接收 机 ,部 署 了 反 辐射 导弹 ,还 
使 用 了 杂 波 干扰 机 , 越 军 平均 发 射 70 一 80 枚 导弹 才能 打 落 1 架 美 国 飞 机 。 

1982 年 6 月 的 贝 卡 谷地 作战 是 一 次 典型 的 电子 战 。 战 斗 开始 前 ,以 色 列 派 了 一 些 无 人 
机 到 叙利亚 阵地 上 空 飞 行 。 无 人 机 经 过 了 特殊 伪装 并 装 有 防空 设备 ,这 种 无 人 机 本 身 反 射 
面积 很 小 ,雷达 回 波 反射 信号 比较 弱 , 但 加 装 了 一 些 角 反 射 器 之 类 的 装置 ,使 得 反射 面积 增 
大 ,信号 增强 。 和 叙利亚 误 以 为 大 型 飞机 来 攻击 ,于 是 开动 制导 雷达 。 无 人 机 将 导弹 系统 的 一 
些 参 数 ,如 频率 参数 测 到 了 ,同时 也 把 叙利亚 的 导弹 阵地 的 位 置 侦察 到 了 。 以 色 列 第 一 步 先 
取得 信息 ,第 二 步 就 发 动 攻击 。 攻 击 时 ,最 高 一 层 是 预警 飞机 ,作为 空中 指挥 ; 第 二 层 是 
F-15 作为 护航 ; 最 底层 是 F-16 攻击 地 面目 标 。 以 军 攻 击 前 首先 派 无 人 机 引诱 导弹 阵地 开 
机 。 导 弹 阵 地 开机 后 ,以 色 列 发 射 反 辐 射 导弹 。 就 这 样 ,以 色 列 一 举 摧毁 了 叙利亚 19 个 导 
弹 阵 地 和 几 十 架 作战 飞机 。 

1982 年 5 H 25 日 ,阿根廷 的 斯 坦 利 雷达 站 发 现 英 军 的 “竞技 神 " 号 航空 母 舰 在 马 岛 东 
北方 约 120 海里 处 活动 。 阿 根 廷 2 架 * 超 级 军旗 ?飞机 立即 起 飞 ,向 英 军 "竞技 神 号 航空 母 
MEAT 2 枚 “飞鱼 "导弹 。 几 个 月 前 ,就 是 这 种 "飞鱼 "导弹 ,取得 了 将 英国 “ 谢 菲 尔 德 "号 驱 
逐 舰 艇 击 沉 的 辉煌 战绩 ,但 这 次 "飞鱼 "导弹 却 失去 了 往日 的 光环 。 吃 过 苦头 的 英国 人 在 “ 飞 
鱼 ” 导 弹 袭 来 时 ,立即 发 射 大量 的 条 条 干扰 导弹 的 制导 系统 ,结果 2 枚 导弹 都 偏离 了 目标 。 
马 岛 之 战 , 充 分 显示 了 电子 战 的 巨大 作用 。 

1991 年 海湾 战争 结束 后 ,人 们 总 结 这 场 战争 的 特点 是 陆 \ 海 、 空 、 天 、 电 ,五 维 一 体 。 电 
子 战 过 去 一 直 是 战场 上 的 配角 ,海湾 战争 中 竞 然 与 陆 战 .海战 .空战 .天 战 平起平坐 ,成 为 第 
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五 维 战场 。 海 湾 战 争 的 实践 表明 ,电子 战 在 信息 化 战争 中 具有 十 分 重要 的 地 位 和 作用 。 海 
湾 战 争 作 为 首次 信息 化 战争 ,电子 战 轻 充当 了 战争 的 “先行 官 ”, 又 作为 战争 的 主力 军 , 贯 穿 
于 战争 的 始终 ,成 为 真正 的 关键 角色 ,使 人 们 对 它 刊 目 相 看 。 


1.2.2 电子 战 的 攻防 


目前 电子 战 武器 已 发 展 为 两 大 类 。 一 类 为 电子 战 软 杀 伤 武器 ,包括 各 种 信息 侦察 设备 、 
干扰 设备 .欺骗 设 备 以 及 计算 机 病毒 等 ; 另 一 类 为 电子 战 硬 摧毁 武器 ,包括 各 种 反 辐 射 导 
弹 、 反 辐射 无 人 机 、 电 磁 脉冲 弹 等 武器 。 

1. 电子 攻击 战 

利用 电子 战 手 段 ,对 敌 方 的 信息 网 络 接收 设备 实施 干扰 和 压制 ,是 破坏 敌 方 进行 电磁 信 
息 交 换 的 主要 战 法 ,可 迫使 敌 方 电磁 信息 设备 无 法 有 效 地 接收 和 处 理 战场 信息 , 变 成 战场 上 
YS ER A RT”. 

这 种 战 法 在 20 世纪 局 部 战争 中 获得 了 广泛 的 应 用 。 越 南 战 争 期 间 ,美军 采用 雷达 干扰 
压制 ,使 其 作战 飞机 的 损失 率 由 初期 的 14% 下 降 到 后 期 的 1.4%, 约 340 架 飞 机 免 遭 击落 。 
在 贝 卡 谷地 战斗 中 ,以 色 列 使 用 干扰 压制 方法 ,一 举 捧 毁 叙利亚 19 个 防空 导弹 阵地 ,击落 其 
80 架 战 斗 机 ,而 己方 却 没 损失 一 架 飞 机 。 

在 信息 对 抗 的 要 求 下 ,大 规模 破坏 对 方 电子 系统 的 武器 应 运 而 生 , 如 电磁 脉冲 弹 、 电 力 
干扰 弹 等 。 

电磁 脉冲 弹 可 以 在 瞬间 产生 大 范围 . 宽 波束 、 高 功率 的 电磁 脉冲 ,将 各 种 电子 设备 中 的 
敏感 电子 器 件 统统 烧毁 。 电 磁 脉冲 弹 的 出 现 , 将 使 所 有 以 电子 技术 为 核心 的 高 技术 武器 装 
备 面临 前 所 未 有 的 考验 。 

电力 干扰 弹 在 高 压 线 和 变电站 上 空 炸 开 后 ,大 面积 的 导电 纤维 丝 散 布 开 来 ,降落 在 高 压 
线 上 ,造成 大 面积 长 时 间 的 停电 事故 。 美 军 在 海湾 战争 中 通过 “ 战 答 ”导弹 携带 这 种 “ 碳 纤 
维 ” 弹 头 , 在 伊拉克 的 7 座 发 电厂 上 空 爆炸 ,使 巴格达 一 片 漆黑 。 

2. 电子 防守 战 

未 来 的 信息 作战 , 敌 方 必 将 充分 运用 其 先进 的 信息 网 络 系统 ,对 我 方 实施 全 方位 .全 天 候 
的 信息 攻击 。 为 有 效 地 防护 敌 方 的 信息 攻击 ,可 以 采用 隐蔽 频谱 、 隐 蔽 电文 .干扰 掩护 等 手段 。 

(1) 隐蔽 频谱 : 采用 随机 多 址 通信 、 扩 频 通信 、 跳 频 通 信 等 技术 手段 ,减少 通信 中 的 
泄密 。 

(2) 隐蔽 电文 : 充分 利用 电子 加 密 技 术 , 特 别 是 利用 计算 机 技术 ,在 保密 通信 中 的 控 
制 .检验 .识别 、 密 钥 分 配 及 加 密 .解密 等 环节 ,为 电磁 信息 的 密 化 提供 有 利 的 条 件 。 

(3) 干扰 掩护 : 利用 电子 干扰 手段 .使 某 一 特定 环境 内 或 某 一 方向 上 ,己方 电磁 能 量 达 
到 信息 接受 设备 所 能 允许 的 电磁 兼容 限度 ,以 掩护 己方 电磁 信息 不 被 敌 方 识别 。 在 对 越 自 
卫 反 击 作 战 中 ,我 军 为 保护 通信 频率 ,在 通信 频率 附近 发 射 干扰 信号 , 兽 多 次 成 功 地 掩护 了 
我 军 的 通信 。 

1.2.3 电子 战 的 发 展 
电子 战 已 经 走 过 了 整整 100 年 的 历史 , 留 下 了 一 串 串 耀眼 夺目 的 光辉 。 它 开始 是 作为 
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战争 的 辅助 手段 出 场 的 ,现在 已 成 为 现代 战争 的 主角 ,已 被 世界 各 国 军事 家 高 度 重视 。 随 着 
科学 技术 的 飞速 发 展 ,武器 装备 的 电子 化 程度 必然 越 来 越 高 ,电子 战 的 技术 装备 越 来 越 走向 
尖端 ,21 世纪 的 电子 战 将 更 加 激烈 。 

21 世纪 电子 战 所 利用 的 频谱 将 向 全 频谱 扩展 。 随 着 电子 技术 的 发 展 ,电子 对 抗 的 范围 
在 频谱 上 已 大 大 超过 以 往 只 限于 射频 范围 的 概念 ,迅速 向 两 端 扩展 ,也 就 是 向 低 端的 声 频 和 
高 端的 光 频 扩展 ,使 电子 对 抗 既 有 射频 对 抗 还 有 光学 对 抗 、 声 学 对 抗 。 目 前 ,军事 电子 技术 
所 利用 的 频谱 已 经 覆盖 了 从 长 波 、 短 波 、 微 波 、 毫 米 波 、 红 外 、 可 见 光 等 全 部 频谱 。 

21 世纪 的 电子 战 将 重点 发 展 网 络 对 抗 、 计 算 机 病毒 武器 ,传统 的 电子 对 抗 技术 也 将 不 
断 向 高 新 方向 发 展 。 无 源 干扰 技术 如 箱 条 ,干扰 丝 等 ,是 廉价 有效、 易 行 的 干扰 技术 ,将 继 
续 被 采用 。 新 技术 新 材料 的 发 展 使 干扰 箱 条 和 干扰 丝 在 材料 上 不 断 更 新 ,从 而 更 具 威 力 。 
目前 ,用 镀 铝 、 镀 锌 、 镀 银 的 玻璃 丝 .涤纶 丝 . 尼 龙 丝 代 替 以 前 的 锡 、 锌 、 铝 等 箱 条 ,可 以 增加 在 
空中 滞留 的 时 间 ,增强 干扰 效果 。 新 发 明 的 复合 稍 条 将 微波 、 毫 米 波 反射 型 材料 等 结合 起 
来 ,形成 可 干扰 红外 、 可 见 光 、 微 波 等 宽频 带 干 扰 物 。 干扰 箱 条 从 结构 上 设计 出 了 干扰 球 、 金 
属 体 和 干扰 强 等 新 的 类 型 干扰 物 ,可 对 雷达 ,红外 和 微波 进行 复合 干扰 。 

21 世纪 的 电子 战 装备 将 向 系统 化 、 系 列 化 、 软 硬 武器 一 体 化 标准 化 和 模块 化 方向 发 
展 。 因 此 ,21 世纪 的 电子 战 必 将 异常 激烈 ,异常 复杂 。 谁 能 够 万 得 制 电 磁 权 , 谁 就 将 在 未 来 
战争 中 稳 操 胜 券 ,这 已 为 各 国 军事 家 们 所 公认 。 


1.3 网 络 R 


计算 机 网 络 是 信息 对 抗 双 方 借以 争夺 信息 优势 的 制高点 。 对 抗 双 方 均 可 采用 多 种 手段 
闻 入 对 方 的 计算 机 网 络 ,实现 其 攻击 目的 。 对 于 进攻 方 而 言 ,利用 网 络 进行 计算 机 病毒 攻 
击 ` 阻 塞 网 络 .拒绝 服务 ; 对 于 防御 方 来 说 , 则 有 抗 病毒 .人 侵 检测 等 反击 手段 和 措施 。 

经 过 30 多 年 的 发 展 ,今天 的 Internet 已 经 从 最 初 的 4 个 结 点 变 成 了 连接 千 百 万 个 网 络 
的 “信息 高 速 公 路 "。 似 乎 就 在 一 夜 之 间 , 人 们 突然 发 现 自己 已 经 置身 网 中 ,网 上 办 公 、 网 上 
购物 .网 上 聊天 .网 上 炒股 ,真是 无 “网 "不 在 ,无 “网 "不 能 ,无 “网 ?而 不 胜 。 然 而 ,与 历史 上 其 
他 科技 革命 一 样 ,Internet 对 人 类 社会 同样 具有 双重 作用 。 它 既 编织 了 五 彩 缤纷 的 网 络 生 
活 , 也 引发 了 前 所 未 有 的 网 络 战争 。 


1.3.1 计算 机 病毒 战 


由 于 计算 机 病毒 所 具有 的 传染 性 、 潜 伏 性 和 巨大 的 破坏 性 ,使 得 计算 机 病毒 能 够 作为 一 
种 向 计算 机 网 络 内 部 实施 攻击 的 进攻 性 信息 武器 。 

计算 机 病毒 战 有 两 种 进攻 手段 : 第 一 种 是 “病毒 芯片 ”, 将 病毒 固化 在 集成 电路 里 面 , 一 
旦 战 时 需要 , 便 可 遥控 激活 。 第 二 种 是 “病毒 枪 ”, 通 过 无 线 电波 把 病毒 发 射 注入 到 敌 方 电子 
系统 。 病 毒 的 无 线 注入 是 一 种 正在 研究 的 最 新 技术 ,一旦 突破 , 它 将 使 网 络 战 的 面貌 发 生 重 
大 的 变化 。 

1991 年 1 月 17 日 ,海湾 战火 刚刚 点 燃 , 伊 军 防空 指挥 系统 就 被 无 名 病毒 感染 ,致使 部 
分 防空 指挥 控制 系统 硕 刻 间 处 于 瘫痪 状态 。 原 来 他 们 从 法 国 引进 的 计算 机 上 的 主板 全 部 是 
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由 美国 生产 的 ,计算 机 蕊 片 早已 被 设置 了 致命 的 病毒 。 空 袭 后 不 久 , 美 军 就 利用 无 线 遥 控 激 
活 了 这 些 病毒 ,这 些 病毒 使 伊拉克 的 防空 体系 陷于 瘫痪 。 这 是 病毒 武器 首次 用 于 实战 并 取 
得 成 功 , 计 算 机 病毒 战 的 作用 初 露 锋芒 。 

如 果 说 海湾 战争 中 的 网 络 战 是 小 试 锋芒 ,那么 科索沃 战争 则 使 网 络 战 正式 登 上 了 人 类 
的 战争 和 舞台。 在 78 天 的 连续 艇 炸 中 , 南 联盟 经 历 了 20 世纪 最 为 惨烈 的 空袭 。 与 此 同时 ,在 
Internet 上 ,交战 双方 也 开辟 了 没有 硝烟 的 第 二 战场 。 美 军 专 门 召集 计算 机 专家 ,将 大 量 病 
毒 和 欺骗 性 信息 注入 南 军 计算 机 互联 网 络 和 通信 系统 ,以 阻塞 南 军 作战 信息 的 有 效 传播 。 
面 对 北 约 的 网 络 攻击 , 南 联 盟 网 络 高 手 奋 起 反击 ,北约 的 电子 邮箱 每 天 都 收 到 2000 EHE 
有 宏 病 毒 的 电子 邮件 ,造成 了 邮件 服务 器 因 严 重 过 载 而 瘫痪 ; 白宫 的 网 络 服务 器 也 因为 这 
种 网 络 攻 击 而 一 度 休克 ; 北约 军队 的 战场 计算 机 系统 在 “ 梅 莉 莎 >"“ 疯 牛 ” 等 病毒 的 围攻 下 ， 
造成 了 部 分 时 段 的 指挥 ,控制 和 通信 次 痪 ,尤其 是 美 海军 陆 战 队 各 作战 单元 的 电子 邮件 大 部 
分 被 阻塞 。 


1.3.2 黑客 战 


黑客 战 是 网 络 战 的 另 一 种 对 抗 形式 。 训 练 有 素 的 黑客 们 能 够 轻而易举 地 间 和 人 对 方 计算 
机 网 络 ,施放 计算 机 病毒 ,窃取 其 敏感 信息 ,有 目的 地 改变 信息 的 内 容 , 使 被 攻击 方 对 接收 到 
的 信息 做 出 错误 的 判断 而 采取 错误 的 行动 。 

1995 年 9 月 18 日 ,美军 组 织 了 一 个 旨 在 夺取 大 西洋 舰队 控制 权 的 联合 军事 演习 ,最 后 
仅 用 一 个 普通 的 笔记 本 计算 机 就 夺取 了 大 西洋 舰队 的 控制 权 。 在 这 次 演习 中 ,一 名 海军 信 
息 战 专家 通过 一 根 电话 线 将 他 的 计算 机 连 到 网 上 ,然后 把 调动 军舰 的 密码 指令 隐藏 在 电子 
邮件 信息 中 发 出 , 随 着 密码 指令 在 各 个 军舰 计算 机 中 的 不 断 传递 ,大 西洋 舰队 的 军舰 一 只 接 
一 只 地 拱手 交 出 了 指挥 权 。 有 的 驶 向 其 他 海域 ,有 的 调头 到 别处 集结 ,有 的 原 地 不 动 ,有 的 
向 海底 深 潜 。 最 糟糕 的 是 ,舰队 的 指挥 官 们 对 这 一 切 却 浑然 不 知 。 

黑客 们 利用 计算 机 系统 和 网 络 安全 结构 中 的 漏洞 ,采用 口令 入 侵 、 特 洛 伊 木马 、IP 欺骗 
等 多 种 技术 手段 ,实施 对 计算 机 系统 的 攻击 。 

黑客 所 用 的 特洛伊 木马 ,就 是 把 一 个 攻击 指令 程序 隐藏 在 某 一 合法 程序 中 。 当 用 户 触 
发 合法 程序 时 ,依附 在 合法 程序 中 的 攻击 指令 同时 被 激活 。 于 是 ,黑客 就 可 以 利用 这 些 木马 
程序 ,随心 所 欲 地 读 取 文 件 , 自 改 数据 ,收集 密码 ,监视 用 户 的 所 有 操作 。 

黑客 的 另 一 种 手段 就 是 "网络 嗅 探 ”。 众 所 周知 ,计算 机 用 户 在 进入 自己 的 计算 机 系统 
时 ,最 先 敲 击 的 字符 是 核心 机 密 。 他 的 账号 .口令 和 登录 信息 一 般 都 存在 于 这 些 字符 串 中 。 
黑客 就 利用 这 个 规律 ,首先 找 出 网 络 系统 漏洞 ,然后 将 “ 嗅 探 ?程序 依附 在 被 攻击 的 主机 系统 
中 ,就 像 在 敌人 的 内 部 安插 了 一 个 间谍 。 这 样 ,黑客 就 能 以 合法 身份 在 对 方 网 络 系统 内 长 驱 
直 和 ,为所欲为 了 。 


1.4 心理 战 


信息 时 代 的 战争 ,胜利 已 经 不 是 以 消灭 对 方 的 人 员 多 少 ,占领 对 方 领土 多 少 为 标准 ,对 
敌人 不 是 要 打 死 ,而 是 要 打 怕 ,要 打 服 ,控制 敌人 成 为 最 主要 的 作战 目的 。 
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心理 战 即 攻心 战术 , 指 运用 新 闻 导 向 ,流言 传播 ,与 论 造势 ,给 对 方 以 巨大 的 精神 压力 ， 
从 而 战胜 对 方 。 

1994 年 9 月 18 日 ,美国 出 兵 海地 的 谈判 就 是 这 样 一 个 成 功 的 战例 。 当 时 ,美国 代表 把 
笔记 本 计算 机 打开 ,告诉 海地 代表 ,你 今天 不 同意 我 的 条 件 不 要 紧 ,你 看 我 的 整个 空袭 计划 ， 
我 整个 作战 行动 马上 就 要 开始 。 开 始 海地 代表 不 大 相信 ,以 为 是 美国 人 虚 张 声势 ,可 是 几 分 
钟 后 ,计算 机 屏幕 上 就 显示 出 美军 友 炸 机 和 空降 部 队 乘 坐 的 大 型 运输 机 已 经 起 飞 的 镜头 。 
这 使 得 海地 代表 感到 慌 惧 ,因为 海地 一 共 只 有 几 千 部 队 , 经 不 住 美国 的 打击 ,于 是 他 们 只 
同意 了 美国 的 条 件 。 协 议 签订 后 ,只 见 屏幕 上 的 美国 飞机 拐 了 一 个 弯 ,返回 了 基地 。 一 场 即 
将 打响 的 战斗 ,就 这 样 在 计算 机 屏幕 前 结束 了 。 

1999 年 的 波 黑 已 持续 了 四 年 多 的 战争 ,造成 了 二 十 多 万 人 死亡 ,两 百 多 万 人 流离 失 所 。 
国际 社会 为 结束 波 黑 战争 ,进行 了 不 懈 的 努力 ,但 是 ,和 平 的 进程 却 极为 艰难 。 这 时 ,美国 人 
为 了 不 损害 自己 的 利益 ,利用 计算 机 虚拟 现实 技术 ,将 穆 族 、 克 族 、 塞 族 三 方 所 提出 的 谈判 条 
件 ,特别 是 用 于 讨价还价 的 军事 实力 和 作战 部 署 , 及 其 装备 数量 等 无 一 遗漏 地 进行 了 综合 性 
的 对 比 演示 。 剑 拔 弩 张 的 三 方 代表 ,同时 看 到 了 这 些 信 息 ,意识 到 这 样 争斗 下 去 ,必然 是 三 
败 俱 伤 , 谁 也 得 不 到 便宜 ,于 是 只 好 握手 言 和 。 


1.5 情报 战 


在 信息 化 战争 中 ,情报 战 是 一 种 十 分 重要 的 作战 形式 。 因 为 从 本 质 上 来 说 ,信息 化 战争 
的 核心 就 是 围绕 信息 的 获取 权 、 控 制 权 和 使 用 权 的 争夺 与 对 抗 。 其 中 信息 获取 权 的 争夺 与 
对 抗 既是 整个 信息 争夺 与 对 抗 的 重要 组 成 部 分 ,也 是 它 的 先导 。 不 能 有 效 地 获取 信息 ,不 能 
有 效 地 掌握 信息 获取 权 ,就 谈 不 到 掌握 对 信息 的 控制 权 和 使 用 权 。 

现代 情报 手段 形形色色 ,从 陆地 侦察 到 太空 侦察 ,无 所 不 有 。1973 年 , 埃 军 强渡 苏伊士 
运河 ,使 以 军 几乎 陷 人 绝望 境地 。 在 这 生死 存亡 紧急 时 刻 ,以 军 利用 美国 “大 乌 ”侦察 卫 星 ， 
发 现在 埃 军 第 2 军 、 第 3 军 结合 部 有 薄弱 环节 ,存在 10 千 米 的 间隙 。 以 色 列 立 即 派出 一 
支部 队 , 从 埃 两 军 间 实施 穿插 , 抄 了 埃 军 的 后 路 ,并 摧毁 了 埃 军用 防空 导弹 筑 造 的 “空中 
屏障 ”, 从 而 一 举 扭转 了 败局 。 从 中 可 以 看 出 ,现代 高 技术 情报 手段 对 战争 的 胜 负 具有 重 
要 的 意义 。 

科学 技术 的 发 展 和 手段 的 更 新 始终 是 作战 样式 发 展演 变 的 重要 动力 ,现代 科学 技术 的 
一 些 新 的 突破 为 情报 战 提供 了 更 加 先进 和 有 效 的 手段 与 工具 。 

被 人 们 称 为 21 世纪 关键 技术 之 一 的 纳米 技术 的 突破 就 为 现代 情报 战 提供 了 一 些 前 所 
未 有 的 新 手段 和 新 工具 。 如 只 有 苍蝇 和 蜜蜂 大 小 的 微型 间谍 飞行 器 ,可 以 自主 飞 到 目标 上 
空 或 附 在 目标 之 上 ,利用 所 载 的 微型 探测 装置 实施 侦察 监视 ; 无 法 分 辨 的 “间谍 草 ”, 内 装 各 
种 灵敏 的 电子 侦察 仪器 、 照 相机 和 感应 器 ,具有 像 人 眼 一 样 的 “视力 ”, 可 以 探测 出 数 百 米 外 
坦克 等 目标 运动 时 的 震动 和 声音 ,并 将 情报 准确 传 回 总 部 。 

显然 ,这 些 新 型 情报 战 手段 和 工具 的 出 现 与 使 用 将 使 信息 化 战争 的 面貌 发 生 彻 底 的 
改变 。 
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1.6 ”理想 战争 模式 


《理想 战争 ) 一 书 中 描述 了 理想 战争 模式 : 理想 战争 就 是 对 人 类 破坏 力 最 小 的 战争 , 理 
想 战 争 是 依托 国家 综合 实力 和 最 新 高 科技 进行 的 战争 。 

书 中 设计 了 10 种 以 零 死亡 为 目标 的 理想 战争 模式 : 机 器 人 战争 .克隆 人 战争 .领导 人 
战争 ,啤酒 瓶 战争 、 外 星球 战争 、 虚 拟 战 争 、 鸦 片 战争 、 思 想 战争 、 传 媒 战争 思维 战 争 。 还 设 
计 了 一 些 保证 理想 战争 模式 实施 而 出 现 的 一 些 新 的 社会 现象 : 互联 网 国家 、 科 学 家 战士 \ 决 
策 者 先 死 .战争 锦标 赛 .战争 俱乐部 .新 大 众 产 业 等 。 

理想 战争 这 一 重大 命题 的 提出 ,标志 着 我 国 对 战争 的 研究 进入 了 一 个 新 的 境界 : 我 们 
研究 战争 的 目的 是 为 了 熟悉 战争 、 打 赢 战争 、 遏 制 战争 ,不 是 以 无 限 增 大 战争 的 危险 性 和 破 
坏 性 来 访 得 战争 ,而 是 以 最 小 的 破坏 力 打 赢 战争 ,抑制 霸权 国家 的 战争 威胁 ,保持 世界 和 平 
力量 的 平衡 。 


J3 题 


. 什么 是 信息 战 ? 

. 信息 战 主要 包含 哪些 内 容 ? 

. 信息 战 的 主要 形式 有 哪些 ? 

. 信息 战 有 哪些 主要 武器 ? 

. 简 述 信息 战 的 种 类 。 

. 什么 是 电子 战 ? 

.网络 战 的 形式 有 哪些 ? 

. 心理 战 和 情报 战 在 信息 化 战争 中 有 什么 作用 ? 
. 理想 战争 的 目标 是 什么 ? 


CANDO FF WD 
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古 希 腊 的 斯 巴 达 人 将 一 条 Lem 宽 、20cm 长 的 羊皮 带 , 以 螺旋 状 绕 在 一 根 特定 粗细 的 木 
棍 上 ,然后 将 要 传递 的 信息 沿 木 棍 纵 轴 方向 从 左 至 右 写 在 羊皮 带 上 。 写 完 一 行 ,将 木 棍 旋转 
90° ,再 从 左 至 右 写 ,直至 写 完 。 最 后 将 羊皮 带 从 木 棒 上 解 下 展开 ,羊皮 带 上 排列 的 字符 即 是 
一 段 密码 。 信 息 的 接收 者 收 到 羊皮 带 后 ,将 它 庄 到 同等 粗细 的 棍子 上 ,才能 读 出 原始 信息 。 
这 样 , 即 便 羊 皮带 中 途 被 截 走 ,只 要 对 方 不 知道 棍子 的 粗细 ,所 看 到 的 也 只 是 一 些 零 乱 无 用 
的 文字 。 这 就 是 历史 上 记载 的 人 类 最 早 对 信息 进行 加 密 的 方法 之 一 。 

密码 技术 有 着 悠久 的 历史 ,4000 多 年 前 至 公元 14 世纪 ， 
是 古典 密码 技术 的 孕育 、 兴 起 和 发 展 时 期 ,这 个 时 期 以 手工 作 
为 加 密 手段 。 

16 世纪 前 后 ,广泛 地 采用 了 密 表 和 密 本 作为 密码 的 基本 
体制 ,著名 的 维 吉 尼 亚 密码 就 是 其 中 一 例 。 这 一 时 期 的 加 密 
手段 发 展 到 机 械 手段 ,20 世纪 30 年 代 后 出 现 了 更 为 复杂 而 
精巧 的 转 轮 密码 机 ,如 图 2-1 所 示 。 

20 世纪 50 年 代 至 今 , 是 传统 密码 学 新 的 高 水 平 发 展 和 
现代 密码 学 产生 与 研讨 时 期 。 这 一 时 期 最 具有 代表 性 的 两 大 


图 2-1 1926 年 发 明 的 
成 就 是 : 加 密 标准 DES 和 公开 密 钥 密码 体制 的 新 思想 。 Kryha 密码 机 


密码 学 的 诞生 及 其 发 展 ,是 人 类 文化 水 准 不 断 进步 的 一 
个 具体 标志 。 近 十 几 年 来 ,混沌 理论 . 隐 显 密码 学 .基于 DNA 的 信息 伪装 技术 正 处 于 探索 
之 中 ,特别 值得 一 提 的 是 ,物理 学 的 新 成 果 开 始 融 于 密码 技术 之 中 : 量子 密码 和 量子 计算 机 
的 研究 与 探讨 方兴未艾 ,这 将 是 密码 学 新 理论 .新 技术 空前 繁荣 的 又 一 个 阶段 。 


2.1 基本 概念 


密码 技术 是 实现 信息 安全 保密 的 核心 技术 ,采用 密码 技术 可 以 屏蔽 和 保护 需要 保密 的 
消息 。 研 究 密码 技术 的 学 科 称 为 密码 学 , 它 是 由 两 个 相互 对 立 、 相 互 依存 .相互 促进 的 分 支 
学 科 所 组 成 。 其 中 密码 编码 学 是 对 信息 进行 保密 的 技术 ,而 密码 分 析 学 则 是 破译 密 文 的 
技术 。 


2.1.1 明文 、 密 文 与 密 钥 


密码 学 是 以 研究 数据 保密 为 目的 ,对 存储 或 者 传输 的 信息 采取 加 密 变 换 , 以 防止 第 三 方 
窃取 信息 的 技术 。 

按照 加 密 算法 ,对 未 经 加 密 的 信息 进行 处 理 , 使 其 成 为 难以 读 懂 的 信息 ,这 一 过 程 称 为 
加 密 。 被 变换 的 信息 称 为 明文 , 它 可 以 是 一 段 有 意义 的 文字 或 者 数据 ; 变换 后 的 形式 称 为 
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密 文 , 密 文 是 一 串 杂 乱 排 列 的 数据 ,字面 上 没有 任何 含义 。 

密 钥 用 于 控制 加 密 算 法 完成 加 密 变 换 , 其 作用 是 避免 某 一 加 密 算法 把 相同 的 明文 变 成 
相同 的 密 文 。 即 使 明文 相同 .加 密 算法 相同 ,只 要 密 钥 不 同 ,加 密 后 的 密 文 就 不 同 。 

加 密 变 换 的 保密 性 取决 于 密 钥 的 保密 ,即使 已 经 知道 若干 明文 及 与 之 对 应 的 密 文 ,甚至 
掌握 了 加 密 、 解 密 算 法 ,只 要 不 知道 当时 的 密 钥 ,也 难以 解 出 未 知 的 明文 。 

在 现代 密码 学 研究 中 ,加 密 和 解密 算法 一 般 都 是 公开 的 ,对 于 攻击 者 来 说 ,只 要 知道 解 
密 密 钥 就 能 够 破译 密 文 ,因此 , 密 钥 设计 成 为 核心 , 密 钥 保护 也 成 为 防止 攻击 的 重点 。 


2.1.2 解密 与 密码 分 析 


密码 学 研究 包含 两 部 分 内 容 : 一 是 加 密 算法 的 设计 和 研究 ; 二 是 密码 分 析 , 即 密码 破 

由 合法 接收 者 根据 密 文 把 原始 信息 恢复 的 过 程 称 为 解密 或 脱 密 ; 非法 接收 者 试图 从 密 
文中 分 析出 明文 的 过 程 称 为 密码 破译 或 密码 分 析 ,密码 分 析 是 一 种 在 不 知道 密 钥 的 情况 下 
破译 密 文 的 技术 。 

密码 分 析 之 所 以 能 成 功 ,最 根本 的 原因 是 明文 中 的 元 余 度 。 依 赖 于 自然 语言 的 元 余 度 ， 
使 用 “分 析 一 假设 一 推断 一 证 实 或 否定 ”的 方法 可 以 从 密 文中 获得 明文 。 

在 密码 学 模型 中 , 仅 对 截获 的 密 文 进行 分 析 而 不 对 系统 进行 任何 算 改 称 为 被 动 攻击 ; 
而 采用 删除 .更改 .增添 . 重 放 、 伪 造 等 方法 向 系统 加 入 假 消 息 则 称 为 主动 攻击 。 被 动 攻击 的 
隐藏 性 更 好 ,难以 发 现 , 主 动 攻击 的 破坏 性 更 大 。 

密码 攻击 的 方法 有 穷 举 法 和 分 析 破 译 法 两 大 类 。 

1. BRE 

穷 举 法 也 称 强 力 法 或 完全 试 次 法 ,对 截获 的 密 文 依次 用 各 种 可 能 的 密 钥 试 译 , 直 到 获得 
有 意义 的 明文 。 

穷 举 密 钥 搜索 法 可 能 破译 成 本 太 高 (得 不 偿 失 ) 或 者 时 间 太 长 (超过 有 效 期 )。 

2. 分 析 破 译 法 

分 析 破 译 法 包括 确定 性 分 析 法 和 统计 分 析 法 。 

确定 性 分 析 法 指 利用 一 个 或 几 个 已 知 量 ( 例 如 ,已 知 密 文 或 明文 一 密 文 对 ) 用 数学 关系 
式 表示 出 所 求 未 知 量 ( 如 密 钥 等 ) 的 方法 。 

统计 分 析 法 是 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截获 的 密 文 进 
行 统计 分 析 ,总 结 出 其 间 的 统计 规律 ,并 与 明文 的 统计 规律 进行 对 照 比较 ,从 中 提取 出 明文 
和 密 文 之 间 的 对 应 或 变换 信息 。 


2.1.3 密码 体制 


密码 学 加 密 解 密 模型 如 图 2-2 所 示 。 

从 明文 到 密 文 的 变换 过 程 是 一 个 以 加 密 密 钥 为 参数 的 函数 , 记 作 EP). A 
通信 信道 的 传输 到 达 目 的 地 后 ,需要 还 原 成 有 意义 的 明文 ,才能 被 通信 接收 方 理解 。 将 密 文 
C 还 原 为 明文 P 的 变换 过 程 称 为 解密 或 者 脱 密 ,该 变换 是 以 解密 密 钥 色 为 参数 的 函数 , 记 
作 D,'(C)。 根 据 密 钥 的 特点 ,可 以 将 密码 体制 分 为 对 称 密码 体制 和 非 对 称 密码 体制 两 种 。 
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被 动 攻击 者 一 攻击 者 4 主动 攻击 者 
监听 消息 - 截取、 更 改 消息 
明文 P [MER 解密 函数 | 明文 P-DK(C)_ 

EQ DEO 


mezge EXEO 解密 密 铀 # 


图 2-2 加 密 解 密 模 型 


1. 对 称 密码 体制 

在 传统 密码 体制 中 ,加 密 和 解密 采用 的 是 同一 密 钥 , 即 k 二 & ,并 且 De CE, CPO = P, RK 
为 对 称 密 钥 密 码 系 统 , 又 称 私 钥 系 统 。 

在 私 钥 密 码 体 制 中 , 按 加 密 方式 的 不 同 又 可 以 分 为 分 组 密码 和 序列 密码 。 

在 分 组 密码 中 ,将 明文 序列 划分 成 长 度 相等 的 “分 组 ”, 对 每 个 “分 组 ”单独 进行 加 密 ; 在 
序列 密码 中 ,采用 时 变 函 数 对 明文 逐个 加 密 。 

2. 非 对 称 密码 体制 

现代 密码 体制 中 加 密 和 解密 采用 不 同 的 密 钥 , 称 为 非 对 称 密 钥 密码 系统 ,每 个 通信 方 均 
需要 有 “&、 两 个 密 钥 ,在 进行 保密 通信 时 通常 将 加 密 密 钥 上 公开 ( 称 为 公 钥 ) ,而 保留 解密 密 
钥 k'( 称 为 私 钥 ), 所 以 也 称 为 公共 密 钥 密码 系统 。 

公共 密 钥 方案 较 对 称 密 钥 方 案 处 理 速 度 慢 , 因 此 ,通常 把 公共 密 钥 与 对 称 密 钥 技术 结合 
起 来 实现 最 佳 性 能 , 即 用 公共 密 钥 技 术 在 通信 双方 之 间 传 送 对 称 密 钥 , 而 用 对 称 密 钥 对 实际 
传输 的 数据 加 密 、 解 密 。 

此 外 ,还 可 以 将 密码 体制 分 为 基于 数学 的 密码 ( 公 钥 、 分 组 .序列 .Hash 函数 、.PKI 技术 
等 ) 和 非 数学 的 密码 (信息 隐形 .量子 密码 .基于 生物 特征 的 技术 等 ) 两 大 类 。 


2.1.4 加密 方法 


按照 实现 加 密 手段 的 不 同 ,加 密 方法 分 为 硬件 加 密 和 软件 加 密 两 类 。 

1. 硬件 加 密 

硬件 加 密 速度 快 , 密 钥 的 管理 比较 方便 ,还 可 以 对 加 密 设 备 进 行 物理 加 固 , 使 得 攻击 者 
无 法 对 其 进行 直接 攻击 。 

1) 软盘 加 密 

在 软盘 的 特殊 位 置 写 人 一 些 信息 ,软件 在 运行 时 要 检验 这 些 信息 。 这 种 软盘 就 好 像 一 
把 钥匙 ,软件 开发 商 只 需 一 次 投资 购买 一 套 加 密 工 具 , 就 可 以 自己 制作 多 张 钥匙 盘 。 此 方法 
加 密 简单 .成 本 低 , 但 用 户 在 执行 软件 时 必须 要 插入 此 软盘 ,大 大 降低 了 程序 的 运行 速度 。 

2) 卡 加 密 

在 软件 的 执行 过 程 中 可 以 随时 访问 加 密 卡 ,不 会 对 软件 运行 的 速度 带 来 太 多 的 影响 。 
而 且 由 于 加 密 卡 是 与 计算 机 的 总 线 交 换 数据 ,数据 通信 协议 完全 由 卡 的 生产 厂家 制定 ,没有 
统一 的 标准 接口 ,让 软件 解密 者 有 无 从 下 手 的 感觉 。 但 这 种 加 密 方案 需要 打开 计算 机 机 箱 . 
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占用 扩展 槽 。 

3) 软件 锁 加 密 

加 密 锁 是 一 个 插 在 计算 机 打印 接口 上 .火柴 盒 大 小 的 设备 ,俗称 为 加 密 狗 。 在 加 密 锁 内 
部 存 有 一 定 的 数据 和 算法 ,计算 机 可 以 与 之 通信 来 获得 其 中 的 数据 ,或 通过 加 密 锁 进 行 某 种 
计算 ,可 以 随时 访问 而 且 访问 速度 很 快 ,成 为 当今 世界 上 主流 的 加 密 方案 。 

USB 接口 的 加 密 锁 不 但 拥有 并 口 加密 锁 的 所 有 优点 而 且 没 有 打印 上 的 问题 ,其 前 景 十 
分 看 好 。 

4) 光盘 加 密 

利用 特殊 的 光盘 母 盘 上 的 某 些 不 可 再 现 的 特征 信息 实现 光盘 加 密 。 这 些 特征 信息 位 于 
光盘 复制 时 复制 不 到 的 地 方 。 因 为 软件 数据 和 加 密 在 同一 载体 上 ,对 用 户 而 言 是 很 方便 的 。 

2. 软件 加 密 

用 户 在 发 送信 息 前 , 先 调 用 信息 安全 模块 对 信息 进行 加 密 , 然 后 发 送 , 到 达 接 收 方 后 ,由 
用 户 用 相应 的 解密 软件 进行 解密 。 

1) 密码 表 加 密 

在 软件 运行 的 开始 ,要 求 用 户 根据 屏幕 的 提示 信息 输入 特定 的 答案 ,答案 往往 在 用 户 手 册 
上 的 一 份 防 复印 的 密码 表 中 。 用 户 只 有 输入 密码 ,正确 后 才能 够 继续 运行 。 这 种 加 密 方案 实 
现 简 单 ,不 需要 太 多 的 成 本 ,但 用 户 每 次 运行 软件 都 要 查找 密码 ,不免 使 用 户 感到 十 分 不 便 。 

2) 序列 号 加 密 

很 多 共享 软件 大 多 采用 这 种 加 密 方式 。 用 户 在 软件 的 试用 期 间 是 不 需要 交 费 的 ,一 旦 
试用 期 满 ,还 希望 继续 使 用 这 个 软件 ,就 必须 到 软件 公司 进行 注册 ,然后 软件 公司 根据 提交 
的 信息 生成 一 个 序列 号 。 用 户 收 到 这 个 序列 号 后 ,在 软件 运行 的 时 候 输 入 进去 ,软件 会 验证 
是 否 正确 。 

3) 许可 证 加 密 

许可 证 加 密 是 序列 号 加 密 的 一 个 变种 。 软 件 在 安装 或 运行 时 ,会 对 计算 机 进行 一 番 检 
测 ,并 根据 检测 结果 生成 一 个 特定 指纹 ,这 个 指纹 可 以 是 一 个 小 文件 ,也 可 以 是 一 串 谁 也 看 
不 懂 的 数据 。 用 户 需 要 把 这 个 指纹 数据 通过 Internet、E-mail、 电 话 、 传 真 等 方式 发 送 到 开 
发 商 那 里 ,开发 商 根据 这 个 指纹 ,给 用 户 一 个 注册 码 或 注册 文件 ,完成 注册 后 方 能 使 用 。 


2.2 古典 密码 学 与 近代 密码 学 


密码 学 的 发 展 分 为 三 个 阶段 : 古典 密码 体制 .近代 密码 体制 和 现代 密码 体制 。 

古典 密码 体制 采用 单 表 代 替 体制 和 多 表 代 蔡 体制 ,用 “手工 作业 "方式 进行 加 解密 。 近 
代 密 码 体制 采用 复杂 的 机 械 或 电动 机 械 设备 一 一 转 轮机 ,实现 加 解密 。 现 代 密码 体制 起 源 
于 1949 年 香农 的 《保密 体制 的 通信 理论 》, 使 用 大 规模 集成 电路 和 计算 机 技术 实现 加 解密 。 


2.2.1 古典 密码 体制 


古典 密码 体制 采用 代替 法 或 换 位 法 把 明文 变换 成 密 文 。 用 其 他 字母 ,数字 或 符号 代替 
明文 字母 的 方法 称 为 代替 法 ; 将 明文 字母 的 正常 次 序 打 乱 的 方法 称 为 换 位 法 (或 置换 法 ) 。 
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代替 法 包括 单 表 代替 体制 和 多 表 代 蔡 体制 ,其 中 单 表 代替 体制 则 包括 加 法 密码 .乘法 密 


码 、 仿 射 密码 和 密 钥 短语 密码 等 。 


1. 加 法 密码 


加 法 密码 又 称 为 移 位 密码 或 代替 密码 ,每 个 明文 字母 用 其 后 面 的 第 KK 个 字母 代替 , 开 
的 范围 为 0 一 25, 当 开 为 0 时 ,就 是 明文 本 身 , 超 过 25 的 值 与 0 一 25 之 间 的 值 所 起 的 作用 一 


样 。 一 旦 密 钥 K 确定 ,每 个 英文 字母 都 位 移 相同 的 距离 。 
当 K=3 时 ,可 以 用 下 面 的 明 密 文 对 照 表 表示 这 种 关系 : 


d 


e 


f g h 


k 


m n o 


P q 


E E 


u vw x 


y 


z 


密 文 |D EFGHI 


T KLMNOPQRSTUVWVWXYZAB 


这 样 ,明文 information 就 转换 为 密 文 LQIRUPDWLRQ. 
加 法 密码 的 密 钥 数 只 有 26 个 ,因此 加 法 密码 很 容易 被 破解 。 


2. 乘法 密码 
乘法 密码 采用 模 26 乘法 ,将 两 个 乘 数 的 积 除 以 26 ,得 到 的 余数 为 “ 模 26 乘法 ”的 结果 ， 


如 图 2-3 所 示 。 


c 


ax 012345 6 7 8 9 1011 12 13 14 15 16 17 18 19 20 21 22 23 24 25 
密 钥 

0 0 0 0 0 0 0 0 0 00 0 0 00 00 00 0 0 0 0 0 0 0 0 
1 0 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 
2 0 2 4 6 8 10 12 14 16 18 20 22 240 2 4 6 8 10 12 14 16 18 20 22 24 
3 0 3 6 9 12 15 18 21 241 4 7 10 13 16 19 22 252 5 8 11 14 17 20 23 
4 0 4 12 16 20 24 2 6 10 14 18 220 4 8 12 16 20 242 6 10 14 18 22 
5 0 5 1015 20254 9 1419 243 8 13 18 232 7 1217 221 6 11 16 21 
6 0 6 1218 244 10 16 222 8 14 200 6 12 18 244 10 16 222 8 14 20 
7 0 7 14212 9 16 234 1118256 13 201 8 15 223 1017245 12 19 
8 0 8 16 24 14 22 4 12 202 10180 8 16 246 14 224 12 202 10 18 
9 0 9 181 10192 11 203 12214 13 225 14 236 15 24 16 25 8 17 
10 0 10 204 14 248 182 12 226 160 10204 14 248 18 12 22 6 16 
11 0 11227 #183 14 25 10 216 172 1 249 #205 16 12 23 8 194 15 
12 0 12 24 10 22 8 206 184 162 140 12 24 10 22 8 206 184 162 14 
13 0 130 130 130 13 13 0 130 130 130 130 130 130 130 13 
14 0 142 164 #18 6 20 22 10 24 120 140 164 186 20 22 10 24 12 
15 0 154 19 8 23 121 165 209 2413 2 17 6 21 10 25 14 18 7 22 11 
16 0 166 22122 #18 8 24 144 20100 166 22122 #18 8 24 14 4 20 10 
17 ~ 17 8 #25 16 7 2415 6 23 14 5 22134 21 12 3 20 112 19 1012 189 
18 0 18 10 2 20 12 4 #22 146 #2416 8 O 18102 20 12 4 22 146 24 16 8 
19 0 19 125 24 17103 22158 1 2013 6 25 18 11 4 23 169 2 21 147 
20 0 20 148 2 22 16104 24 18 12 6 0 20 14 8 2 22 16 10 4 24 18 12 6 
21 0 21 16 11 1 22 17 12 7 2 (23.18: 13:8 3 24 19 14 4 25 20 15 10 5 
22 0 22 18 14106 2 24 20 1612 8 4 0 22 18 14 10 6 24 20 16 12 8 4 
23 0 23 20 17 14 11 5 2 25 22 19 16 13107 4 1 24 21 18 15 129 6 3 
24 0 24 22 20 18 16 14 12 108 6 4 2 0 24 22 20 18 16 1412108 6 4 2 
25 0 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11109 8 7 6 5 43 2 1 

图 2-3 “8 26 乘法 "的 乘法 表 
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从 图 中 可 以 看 出 , 当 密 钥 为 1 时,“ 模 26 乘法 ”的 结果 互 不 相同 ; 当 密 钥 为 2 时 ,“ 模 26 
乘法 ”的 结果 有 相同 部 分 …… 因此 ,乘法 密码 的 密 钥 只 有 12 个 (1、3、5、7、9、11、15、17、19、 
21、23、25) ,保密 性 极 低 。 

使 用 乘法 密码 加 密 时 , 先 将 要 加 密 的 明文 字母 转换 为 数字 。26 个 字母 分 别 用 0 一 25 代 
替 如 下 : 


字母 和 


数字 12 3 4 5 6 7 8 9 1011 12 13 14 15 16 17 18 19 20 21 22 23 24 25 0 


然后 查 图 2-3 所 示 的 乘法 表 , 找 出 对 应 的 “ 模 26 乘法 ”的 结果 ,最 后 再 转换 为 密 文字 母 。 

例如 将 明文 information 用 K =3 乘法 密码 进行 加 密 : 

。 information 对 应 数字 为 : 9、14、6、15、18、13、1、20、9、15、14。 

。 %4 K=3 时 ,得 到 的 结果 为 : 1.16、18、19、2、13、3、8、1、19、16, 见 图 2-3 中 黑体 字 

部 分 。 

对 应 数字 转换 为 字母 ,转换 后 的 密 文 为 : aprsbmchasp。 

3. 仿 射 密码 

将 乘法 密码 和 加 法 密码 组 合 在 一 起 ,就 构成 仿 射 密码 。 具 体 方法 是 先 按照 乘法 密码 将 
明文 变换 成 中 间 密 文 , 再 将 得 到 的 中 间 密 文 当 做 明文 ,按照 加 法 密码 变换 成 最 终 密 文 。 其 密 
钥 数 为 12X26 王 312 ,效果 比 单独 采用 乘法 密码 或 加 法 密码 好 。 

例如 : 对 information 分 别 采 用 K =3 进行 乘法 和 加 法 密码 加 密 : 

。 乘法 K=3 得 到 的 中 间 密 文 : aprsbmchasp。 

。 加 法 K=3 得 到 的 最 终 密 文 : DSUVEPFKDVS。 

4. 密 钥 短 语 密码 

密 钥 短语 密码 的 构造 方法 如 下 : 

A) 先 任 选 一 个 特定 字母 ,如 e. 

(2) 再 任意 选择 一 个 英文 短语 ,并 将 此 短语 中 重复 的 字母 删 去 。 如 选 词组 INFORMATION 
SECURITY ,去 掉 重复 字母 后 为 INFORMATSECUY ,将 其 作为 密 钥 短语 。 

(3) 在 特定 字母 下 开始 写 出 密 钥 短语 ,再 把 字母 表 中 未 在 密 钥 短 语 中 出 现 过 的 字母 依 
次 写 在 密 钥 短语 的 后 面 。 


明文 a be de {fehl 


密 文 VWX ZINFORMATSECUYBODGHIKLP Q 


Xf FHA DC information 采用 上 述 方法 加 密 ,得 到 的 密 文 为 RENCBSVGRCE。 

在 上 述 密 钥 短语 密码 中 ,26 个 字母 可 以 任意 排列 成 明文 字母 的 代替 表 , 其 密 钥 量 高 达 
26 X 25 X +++ X2X1=403 291 461 126 605 635 584 000 000。 要 破译 这 样 的 密码 体制 ,一 个 密 
钥 一 个 密 钥 地 试 , 就 是 用 计算 机 也 不 行 , 但 可 以 采用 统计 分 析 的 方法 进行 破译 。 

5. 多 表 代替 体制 
单 表 代替 密码 体制 无 法 抗拒 统计 分 析 的 攻击 ,其 根本 原因 在 于 明文 的 统计 规律 会 在 密 


第 2 章 密码 技术 17 


文中 反映 出 来 。 采 用 多 表 代 蔡 密码 体制 ,可 以 在 密 文中 尽量 抹 平 明文 的 统计 规律 。 

多 表 代替 密码 体制 使 用 两 个 或 两 个 以 上 的 不 同 代 替 表 ,用 的 代替 表 越 多 、 表 之 间 越 无 
关 , 则 统计 特性 越 平坦 ,加 密 效果 越 好 ,但 密 钥 的 记忆 困难 。 

一 般 采 用 较 少 数量 的 代替 表 周 期 性 地 重复 使 用 ,如 著名 的 维 吉 尼 亚 密码 , 见 图 2-4。 


明文 :abcdefghijklmnopqrstuvwxyz 
密 aABCDEFGHIJKLMNOPQRSTUVWXYZ 
铀 bBCDEFGHIJKLMNOPQRSTUVWXYZA 
字 cCDEFGHIJKLMNOPQRSTUVWXYZAB 
fhdDEFGHIJKLMNOPQRSTUVWXYZABC 
WeEFGHIJKLMNOPQRSTUVWXYZABCD 
WfFGHIJKLMNOPQRSTUVWXYZABCDE 
EGHIJKLMNOPQRSTUVWXYZABCDEF 
HHIJKLMNOPQRSTUVWXYZABCDEFG 
ilJKLMNOPQRSTUVWXYZABCDEFGH 
jJKLMNOPQRSTUVWXYZABCDEFGHI 
kKKLMNOPQRSTUVWXYZABCDEFGHI J 
I LMNOPQRSTUVWXYZABCDEFGHIJK 
mMNOPQRSTUVWXYZABCDEFGHIJKL 
MNOPQRSTUVWXYZABCDEFGHIJKLM 
oOPQRSTUVWXYZABCDEFGHIJKLMN 
PPQRSTUVWXYZABCDEFGHIJKLMNO 
aQRSTUVWXYZABCDEFGHIJKLMNOP 
rRSTUVWXKYZABCDEFGHIJKLMNOPQ 
sSTUVWXYZABCDEFGHIJKLMNOPQR 
tTUVWXYZABCDEFGHIJKLMNOPQRS 
uUVWXYZABCDEFGHIJKLMNOPQRST 
vVWXYZABCDEFGHIJKLMNOPQRSTU 
wWXYZABCDEFGHIJKLMNOPQRSTUV 
xXYZABCDEFGHIJKLMNOPQRSTUVW 
yYZABCDEFGHIJKLMNOPQRSTUVWX 
zZABCDEFGHIJKLMNOPQRSTUVWXY 


24 EREHE 


在 维 吉 尼 亚 方 阵 中 , 密 钥 字母 序列 中 的 每 个 字母 所 对 应 的 行 都 是 一 个 加 法 密码 ,所 以 维 
吉 尼 亚 密码 实际 上 是 把 26 个 加 法 密码 组 合 在 一 起 ,构成 最 多 有 26 个 替代 表 的 多 表 代 替 密 
码 体制 。 具 体 使 用 哪 几 个 表 , 由 密 钥 短语 确定 。 

例如 使 用 密 钥 短语 chengdu 对 明文 information 进行 加 密 , 则 明文 字母 i 用 密 钥 字母 c 
指定 的 代替 表 加 密 成 密 文 KK, 明文 字母 n 用 密 钥 字母 h 指定 的 代替 表 加 密 成 密 文 UU, 依 此 类 
推 , 当 密 钥 字 用 完 后 ,再 回头 重复 使 用 。 


密 钥 字 c h e n g 
明文 i 
密 文 K U J B x P U V P Ss A 


a 
e 
Le) 
> 
a 
5 


B 
m 
o 
" 
B 
e 
o 
B 


18 信息 对 抗 与 网 络 安全 (第 2 版 ) 


6. 换 位 (置换 ) 密 码 

代替 密码 是 将 明文 字母 用 密 文字 母 蔡 换 , 换 位 密码 则 是 按 某 种 规律 改变 明文 字母 的 排 
列 位 置 , 即 重 排 明文 字母 的 顺序 ,使 人 看 不 出 明文 的 原意 ,达到 加 密 的 效果 。 换 位 密码 也 称 
为 置换 密码 。 

例如 ,将 明文 i am a university student 以 固定 的 宽度 水 平 (假设 为 4) 写 在 纸 上 : 


i a m a 
u n i V 
e r S i 
t y s t 
u d e n 


t 

密 文 按 垂 直方 向 读 出 : iuetutanrydmisseavitn, 

解密 者 收 到 密 文 后 ,将 收 到 的 字符 数 21 除 以 事先 约定 的 宽度 4, 得 到 5 个 整 行 (4X5 一 
20 个 字符 ) 和 1 个 非 整 行 ( 只 占 1 个 字符 )。 这 样 ,4 列 中 ,第 1 列 有 6 个 字符 ,其 他 列 各 有 5 
个 字符 。 

解密 时 ,将 收 到 的 密 文 按 列 iuetut、anryd misse avitn He AHS EAE: 


i a m a 
u n i v 
e r s i 
t y s t 
u d e n 


然后 水 平地 读 出 明文 : iamauniversitystudent。 
2.2.2 近代 密码 体制 


文艺 复兴 时 期 ,享有 "西方 密码 之 父 * 美 誉 的 意大利 人 艾 伯 蒂 发 明了 实现 多 表 替 代 的 密 
码 盘 ,20 世纪 30 年 代 后 出 现 了 更 为 复杂 而 精巧 的 转 轮 密码 机 。 

密码 机 是 一 种 把 明文 情报 转换 为 密 文 的 机 械 设备 ,采用 机 械 或 电动 机 械 实现 ,其 最 基本 
的 东西 是 转 轮机 。 转 轮机 静止 时 ,相当 于 单 表 代替 ; 转 轮 
机 转动 时 ,相当 于 多 表 代替 ,如 日 本 制造 的 “紫色 ”密码 机 
Purple、 德 国 制造 的 Enigma 密码 机 (如 图 2-5 所 示 )、 瑞 典 
人 哈 格 林 研 制 的 Hzgdin 密码 机 等 。 

从 1926 年 开始 ,Enigma 投入 使 用 ,德国 从 此 拥有 了 世 
界 上 最 为 可 靠 的 通信 保密 系统 。 

1940 年 初 ,图 灵 与 男 一 位 数学 家 威尔士 曼 通 过 仔细 研 
究 和 分 析 , 在 大 幅 改 进 波 兰 情报 人 员 寻 找 密 钥 方法 的 基础 
上 ,终于 发 明了 名 为 “炸弹 ”的 机 器 (如 图 2-6 所 示 ), 用 来 辅 
助 破解 工作 。 使 用 “炸弹 ”以 后 ,英国 差不多 破解 了 德国 空 
军 绝 大 多 数 的 密 文 , 盟 军 依 靠 破 解 的 消息 ,终于 扭转 了 大 西 图 2-5 Enigma 密码 机 
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洋 战场 的 战局 ,成 为 第 二 次 世界 大 战 的 一 个 转折 点 。 

第 二 次 世界 大 战 期 间 ,传统 的 密码 技术 得 到 了 前 所 未 有 的 发 展 和 利用 ,加 密 手 段 也 发 展 
到 了 电子 阶段 一 一 密 文通 过 无 线 电 发 报 机 发 送 ( 见 图 2-7) ,如 1942 年 美国 制造 的 “北极 ”发 
报 机 。 


图 2-6 图 灵 的 “炸弹 ” E 2-7 1943 年 制造 的 在 线 密码 电 传 机 


2.3 现代 密码 学 


香农 在 1949 年 发 表 了 《保密 体制 的 通信 理论 》, 将 信息 论 的 理论 引入 到 密码 系统 后 ,发 
展 起 来 的 密码 系统 称 为 现代 密码 学 。 现 代 密码 学 涵盖 了 序列 密码 系统 、 分 组 密码 系统 和 公 
钥 密码 系统 。 这 一 时 期 最 具 代 表 性 的 两 大 成 就 是 DES 和 公 钥 密码 思想 。 

第 一 个 重大 成 就 是 ,1971 年 美国 学 者 Tuchman 和 Meyer 依据 信息 论 创始 人 香农 提出 
的 “多 重 加 密 有 效 性 理论 ”创立 ,于 1977 年 由 美国 国家 标准 局 采纳 颁布 的 联邦 数据 加 密 标 
准 一 一 DES。 

DES 的 一 个 显著 特点 是 公开 算法 的 所 有 细节 ,让 秘密 完全 寓于 密 钥 之 中 ,开创 了 密码 
发 展 史上 可 以 公开 密码 算法 的 先河 。 它 的 面世 ,把 传统 密码 学 的 研究 推进 到 了 一 个 于 新 的 
阶段 ,是 “密码 史上 应 用 最 广 .影响 最 大 的 传统 密码 算法 ”。 它 具有 较 高 的 保密 强度 ,易于 用 
大 规模 集成 电路 予以 实现 ,被 誉 为 是 密码 史上 的 第 一 个 里 程 碑 。 

第 二 个 重大 成 就 是 ,1976 年 由 美国 著名 的 密码 学 家 Diffie 和 Hellman 创立 的 公开 密 钥 
密码 体制 的 新 思想 。 这 是 密码 史上 划时代 的 革命 性 的 新 概念 。 它 标志 着 现代 密码 学 的 诈 
生 , 引 起 了 数学 界 、 计 算 机 科学 界 和 密码 界 众 多 学 者 的 广泛 关注 和 深入 探索 ,从 而 开创 了 密 
码 学 理论 研究 的 新 纪元 。 

相对 于 传统 密码 体制 而 言 ,公开 密 钥 密 码 体制 的 独特 之 处 在 于 : 它 的 密码 算法 和 加 密 
密 钥 均 可 通过 任何 非 安 全 通道 公布 于 众 , 仅 将 解密 密 钥 保持 秘密 。 它 可 以 解决 密码 通信 系 
统 中 发 送 方 和 接收 方 的 认证 ,便于 实现 “数字 签名 ” ,确认 双方 的 身份 ,为 密码 技术 在 商业 、 金 
融 等 民用 领域 的 普遍 应 用 创造 了 条 件 。 
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2.3.1 秘密 密 钥 密 码 体制 与 公开 密 钥 密 码 体制 


1. 秘密 密 钥 密码 体制 

秘密 密 钥 密码 体制 也 称 单 密 钥 密码 体制 , 即 加 密 用 的 密 钥 和 解密 用 的 密 钥 完 全 相同 ,或 
虽然 不 同 , 但 一 种 密 钥 可 以 很 容易 地 从 另 一 种 密 钥 推导 出 来 ,如 DES, 

这 种 系统 的 一 个 严重 缺陷 是 在 传输 密 文 前 发 送 者 和 接收 者 必须 通过 一 个 安全 信道 交换 
通信 密 钥 ,在 实际 中 做 到 这 一 点 是 很 困难 的 ,而 一 旦 密 钥 泄露 ,通信 将 变 得 没有 任何 安全 
可 言 。 

2. 公开 密 钥 密码 体制 

公开 密 钥 密 码 体 制 也 称 双 密 钥 密码 体制 或 非 对 称 密 钥 密码 体制 ,其 密 钥 成 对 出 现 , 一 个 
为 加 密 密 钥 , 另 一 个 为 解密 密 钥 ,从 其 中 一 个 密 钥 中 不 能 推算 出 另 一 个 密 钥 。 加 密 密 钥 和 算 
法 公布 于 众 , 任 何人 都 可 以 来 加 密 明 文 ,但 只 有 用 解密 密 钥 才 能 够 解 开 密 文 , 如 RSA, 

公 钥 密码 体制 的 概念 是 在 解决 单 钥 密码 体制 中 最 难 解决 的 两 个 问题 时 提出 的 ,这 两 个 
问题 是 密 钥 分 配 和 数字 签名 。 

在 公 钥 密码 体制 以 前 的 整个 密码 学 史 中 , 所 有 的 密码 算法 ,包括 原始 手工 计算 的 .由 机 
械 设 备 实现 的 以 及 由 计算 机 实现 的 ,都 是 基于 代 换 和 置换 这 两 个 基本 工具 ,而 公 钥 密码 体制 
则 为 密码 学 的 发 展 提 供 了 新 的 理论 和 技术 基础 。 一 方面 公 钥 密码 算法 的 基本 工具 不 再 是 代 
换 和 置换 ,而 是 数学 函数 ; 另 一 方面 公 钥 密 码 算 法 是 以 非 对 称 的 形式 使 用 两 个 密 钥 ,两 个 密 
钥 的 使 用 对 保密 性 、 密 钥 分 配 、 认 证 等 都 有 着 深刻 的 意义 。 可 以 说 公 钥 密码 体制 的 出 现在 密 
码 学 史上 是 一 个 最 大 的 而 且 是 唯一 真正 的 革命 。 

3. 公开 密 钥 用 于 保密 通信 

公开 密 钥 用 于 保密 通信 的 原理 是 : 用 公开 密 钥 作 为 加 密 密 钥 ,以 用 户 专 用 密 钥 作为 解 
密 密 钥 ,实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 的 目的 。 

例如 用 户 Alice 想 把 一 段 明 文 加 密 后 发 送 给 Bob ,加 密 解密 的 过 程 如 下 : 

(1) Bob 将 他 的 公开 密 钥 传送 给 Alice. 

(2) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ,然后 传送 给 Bob. 

(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 。 

上 面 的 过 程 如 图 2-8 所 示 , Alice 使 用 Bob 的 公 钥 进行 加 密 ,Bob 用 自己 的 私 钥 进 行 
解密 。 

4. 公开 密 钥 用 于 数字 签名 

公开 密 钥 用 于 数字 签名 的 原理 是 : 使 用 用 户 的 专用 密 钥 作 为 加 密 密 钥 ,以 公开 密 钥 作 
为 解密 密 钥 ,实现 一 个 用 户 加 密 的 信息 供 多 个 用 户 解读 的 目的 。 

身份 认证 用 于 鉴别 用 户 的 真 伪 ,只 要 能 够 鉴别 一 个 用 户 的 私 钥 是 正确 的 ,就 可 以 鉴别 这 
个 用 户 的 真 伪 。 

例如 Alice 想 让 Bob 知道 自己 是 真实 的 Alice, 而 不 是 假冒 的 。Alice 需要 使 用 自己 的 
私 钥 对 文件 签名 ,发 送 给 Bob; Bob 使 用 Alice 的 公 钥 对 文件 进行 解密 ,如 果 可 以 解密 成 功 ， 
则 证 明 Alice 的 私 钥 是 正确 的 ,因而 就 完成 了 对 Alice 的 身份 鉴别 。 整 个 身份 认证 的 过 程 
如 下 : 
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9 传输 密 文 8 = 
明文 输入 MERE HERH 明文 输出 


2-8 ”公开 密 钥 用 于 保密 通信 


(1) Alice 用 她 的 私 钥 对 文件 加 密 , 从 而 对 文件 签名 。 

(2) Alice 将 签名 的 文件 传送 给 Bob。 

(3) Bob 用 Alice 的 公 钥 解密 文件 ,从 而 验证 签名 。 

上 面 的 过 程 如 图 2-9 所 示 ,Alice 使 用 自己 的 私 钥 加 密 ,Bob 用 Alice 的 公 钥 进行 解密 。 


了 Joy 


Alice 


| Alice 的 私 钥 Alice 的 公 钥 
= (ee _ E 
= = 
明文 输入 加 密 算法 解密 算法 明文 输出 


(接收 加 密 算法 ) 
2-9 公开 密 钥 用 于 数字 签名 


2.3.2 分 组 密码 与 序列 密码 


对 称 密 钥 密码 技术 是 从 传统 的 简单 换 位 .代替 密码 发 展 而 来 的 , 自 1977 年 美国 颁布 
DES 密码 算法 作为 美国 数据 加 密 标准 以 来 ,对 称 密 钥 密 码 技术 得 到 了 迅猛 发 展 ,在 世界 各 
国 得 到 了 广泛 关注 和 使 用 。 

因为 对 称 密码 系统 具有 加 解密 速度 快 、 安 全 强度 高 等 优点 ,在 军事 、 外 交 以 及 商业 应 用 
中 越 来 越 普 遍 ; 由 于 存在 密 钥 发 行 与 管理 方面 的 不 足 ,在 提供 数字 签名 、 身 份 验证 等 方面 需 
要 与 公开 密 钥 密码 系统 共同 使 用 ,以 达到 更 好 的 安全 效果 。 

对 称 密 钥 密 码 技术 从 加 密 模式 上 可 分 为 分 组 密码 与 序列 密码 两 类 。 

1. 序列 密码 

一 次 一 密 ” 密 码 在 理论 上 是 不 可 破译 的 ,这 一 事实 使 人 们 感到 ,如 果 能 以 某 种 方式 仿效 
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“一 次 一 密 ” 密 码 , 则 可 以 得 到 保密 性 很 高 的 密码 。 长 期 以 来 ,人 们 试图 以 序列 密码 方式 仿效 
“一 次 一 密 ” 密 码 , 从 而 促进 了 序列 密码 的 研究 和 发 展 。 

序列 密码 的 原理 如 图 2-10 所 示 ,序列 密码 的 加 解密 采用 简单 的 模 2 加 法 器 ,这 使 得 序 
列 密码 的 工程 实现 十 分 方便 。 


序列 密码 的 关键 是 产生 密 钥 序列 的 算 peren 
法 ,由 于 通信 双方 必须 能 够 产生 相同 的 密 铀 = 
序列 ,所 以 这 种 密 钥 序列 不 可 能 是 真 随机 序 | 
列 , 只 能 是 伪 随 机 序列 ,是 具有 良好 随机 性 和 密 负 序列 
不 可 预测 性 的 伪 随 机 序列 。 通 过 有 限 状态 机 “明文 密 文 序列 密 文 (明文 序列 
产生 性 能 优良 的 伪 随 机 序列 ,使 用 该 序列 加 图 2-10 序列 密码 原理 框图 


密 信息 流 , 逐 位 加 密 得 到 密 文 序列 。 序 列 密 
码 算法 的 安全 强度 完全 取决 于 它 所 产生 的 伪 随 机 序列 的 好 坏 。 

如 果 密 钥 序 列 产生 算法 与 明文 ( 密 文 ) 无 关 , 则 所 产生 的 密 钥 序 列 也 与 明文 ( 密 文 ) 无 关 ， 
这 类 序列 密码 称 为 同步 序列 密码 。 对 于 同步 序列 密码 ,只 要 通信 双方 的 密 钥 序列 产生 器 具 
有 相同 的 种 子 密 钥 和 相同 的 初始 状态 ,就 能 产生 相同 的 密 钥 序列 。 在 保密 通信 过 程 中 ,通信 
的 双方 必须 保持 精确 的 同步 , 收 方才 能 正确 解密 ,否则 收 方 将 不 能 正确 解密 。 例 如 ,如 果 通 
信 中 丢失 或 增加 了 一 个 密 文字 符 , 则 收 方 的 解密 将 一 直 错 误 , 直 到 重新 同步 为 止 。 这 是 同步 
序列 密码 的 一 个 主要 缺点 。 但 是 同步 序列 密码 对 同步 的 敏感 性 ,使 我 们 能 够 容易 检测 插入 、 
删除 .重播 等 主动 攻击 。 同 步 序列 密码 的 优点 是 没有 错误 传播 , 当 通 信 中 某 些 密 文字 符 产生 
了 错误 (如 0 变 成 1, 或 1 变 成 0), 只 影响 相应 字符 的 解密 ,不 影响 其 他 字符 。 

如 果 密 钥 序列 产生 算法 与 明文 ( 密 文 ) 相 关 , 则 所 产生 的 密 钥 序列 也 与 明文 ( 密 文 ) 相 关 ， 
称 为 自 同步 序列 密码 。 由 于 自 同 步 序列 密码 的 密 钥 序 列 与 明文 ( 密 文 ) 相 关 , 所 以 加 密 时 如 
果 某 位 明文 出 现 错误 (如 0 变 成 1, 或 1 变 成 0) ,就 会 影响 后 续 的 密 文 也 发 生 错误 。 解 密 时 
如 果 某 位 密 文 出 现 错误 ,就 会 影响 后 续 的 明文 也 发 生 错误 ,从 而 造成 错误 传播 ,具体 的 加 解 
密 错 误 传播 长 度 与 其 密 钥 序列 产生 算法 的 结构 有 关 。 对 于 自 同步 序列 密码 ,在 失 步 (如 密 文 
出 现 插入 或 删除 ) 后 ,只 要 接收 端 连续 接收 到 一 定数 量 的 正确 密 文 ,通信 双方 的 密 钥 序列 产 
生 器 便 会 自动 地 恢复 同步 ,因此 被 称 为 自 同 步 序 列 密码 。 

序列 密码 一 直 作为 军事 和 外 交 场 合 使 用 的 主要 密码 技术 之 一 ,A5 是 用 于 GSM 加 密 的 
序列 密码 ,被 用 于 加 密 从 移动 终端 到 基站 的 连接 。 

2. 分 组 密码 

分 组 密码 的 工作 方式 是 将 明文 分 成 固定 长 度 的 组 (如 64 位 一 组 ) ,用 同一 密 钥 和 算法 对 
每 一 组 加 密 , 输 出 固定 长 度 的 密 文 。 

为 使 加 密 运 算 可 逆 ( 使 解密 运算 可 行 ) ,明文 的 每 一 个 分 组 都 应 产生 唯一 的 一 个 密 文 分 
组 ,这 样 的 变换 是 可 逆 的 ,这 种 可 逆 变 换 称 为 代 换 , 代 换 可 以 使 用 P 盒 与 S 盒 实现 。 

换 位 盒 (P 盒 ) : 将 输入 第 i 位 置 1. 其 余 置 0. 此 时 输出 为 1 的 那 一 位 即 为 换 位 后 所 对 应 
的 位 。 

BRESA): 也 称 为 选择 盒 , 是 一 组 高 度 非 线性 函数 。 由 三 级 构成 ,第 一 级 将 二 进 制 
转化 成 十 进 制 ; 第 二 级 是 一 个 P 盒 ,进行 十 进 制 换 位 ; 第 三 级 将 换 位 后 的 十 进 制 转化 成 二 
进 制 输出 。 
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图 2-11 表示 n=4 的 代 换 密码 的 一 般 结构 ,4 比特 输入 产生 16 个 可 能 输入 状态 中 的 一 
个 ,由 代 换 结构 将 这 一 状态 映射 为 16 个 可 能 输出 状态 中 的 某 一 个 ,每 一 输出 状态 由 4 个 密 
文 比 特 表示 。 
| | 4 比特 输入 { | 


Oo A 9 ll 


4 比特 输出 
图 2-11 代 换 结构 


加 密 映射 和 解密 映射 可 由 代 换 表 来 定义 ,如 表 2-1 所 示 。 这 种 定义 法 是 分 组 密码 最 常 
用 的 形式 ,能 用 于 定义 明文 和 密 文 之 间 的 任何 可 逆 映 射 。 


表 2-1 代 换 表 
明文 十 进 制 换 位 密 文 明文 十 进 制 换 位 密 文 
0000 0 14 1110 1000 8 3 0011 
0001 1 4 0100 1001 9 10 1010 
0010 2 13 1101 1010 10 6 0110 
0011 3 1 0001 1011 11 12 1100 
0100 4 2 0010 1100 12 5 0101 
0101 5 15 1111 1101 13 9 1001 
0110 6 11 1011 1110 14 0 0000 
0111 ig 8 1000 1111 15 7 0111 


目前 著名 的 分 组 密码 算法 有 DES IDEA, Blowfish, RC4,RC5,FEAL 等 。 
2.3.3 DES 算法 


DES 主要 采用 替换 和 移 位 的 方法 进行 加 密 ,输入 为 64 位 明文 , 密 钥 长 度 为 56 位 ,采用 
美国 国家 安全 局 精心 设计 的 8 个 S 盒 和 了 P 盒 置换 ,经 过 16 HIER. MATH 64 位 密 文 ,其 
算法 框图 如 图 2-12 所 示 。 

1. DES 的 主要 应 用 范围 

DES 是 一 种 世界 公认 的 较 好 的 加 密 算法 。 自 它 问世 以 来 ,成 为 密码 界 研究 的 重点 ,经 
受 住 了 许多 科学 家 的 研究 和 破译 ,在 民用 密码 领域 得 到 了 广泛 的 应 用 。 它 曾 为 全 球 贸易 、 金 
融 等 非 官方 部 门 提供 了 可 靠 的 通信 安全 保障 ,其 应 用 范围 如 下 : 

。 计算 机 网 络 通信 : 对 计算 机 网 络 通信 中 的 数据 提供 保护 是 DES 的 一 项 重要 应 用 。 

。 电子 资金 传送 系统 : 采用 DES 的 方法 加 密 电 子 资金 传送 系统 中 的 信息 ,可 准确 、 快 

速 地 传送 数据 ,并 可 较 好 地 解决 信息 安全 的 问题 。 
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输入 。 保 护 用 户 文件 : 用 户 可 自选 密 钥 对 重要 文件 加 密 ,防止 
| 未 授权 用 户 窃 密 。 
Sees 。 用 户 识别 : DES 还 可 用 于 计算 机 用 户 识别 系统 中 。 
a 任何 加 密 算法 都 不 可 能 是 十 全 十 美的 ,DES 的 缺点 是 密 钥 
O 太 短 ,影响 了 它 的 保密 强度 。 此 外 ,由 于 DES 算法 完全 公开 ,其 
on i 安全 性 完全 依赖 于 对 密 钥 的 保护 ,必须 有 可 靠 的 信道 来 分 发 密 
CEREN PO 钥 , 因 此 不 适合 在 网 络 环境 下 单独 使 用 。 
下 16 次 迭代 ) 加 
2. DES 算法 概要 
法 


DES 运算 过 程 如 图 2-13 所 示 ,步骤 如 下 : 
道 初始 置换 IP- P 
(1) 对 64 位 明文 进行 初始 置换 ,改变 位 的 次 序 。 

(2) 把 明文 分 成 左右 各 32 位 的 两 个 块 ,L; 和 Ro 

(3) 在 图 中 的 密 钥 一 边 , 原 始 密 钥 被 分 成 两 半 。 

(4) 密 钥 的 每 一 半 向 左 循环 移 位 ,然后 重新 合并 、 排 列 并 扩 
展 到 48 位 。 

(5) 在 图 的 明文 一 边 , 右 侧 的 32 位 块 被 扩展 到 48 位。 

(6) 将 (4) 得 到 的 48 位 子 密 钥 和 (5) 得 到 的 48 位 块 进 行 按 位 模 2 加 操作 。 

(7) 使 用 置换 函数 把 (6) 的 结果 转换 成 32 位 。 

(8) 把 (2) 创 建 的 64 位 值 的 左边 一 半 与 (7) 的 结果 进行 KOR 操作 。 

(9) (8) 的 结果 和 (2) 创 建 的 块 的 右 半 部 分 共同 组 成 一 个 新 块 ,前 者 在 右边 ,后 者 在 
左边 。 

(10) 从 (4) 开 始 重 复 这 一 过 程 , 共 迭 代 16 次 。 

AD 完成 最 后 一 次 迭代 后 ,经 过 逆 初 始 变换 ,得 到 64 位 密 文 。 

对 原始 明文 中 下 一 个 64 位 块 重复 整个 过 程 。 为 了 简洁 起 见 , 省 略 了 整个 过 程 中 的 许多 
复杂 细节 。 


2.3.4 认证 与 数字 签名 


为 了 区 分 合法 用 户 和 非法 使 用 者 ,需要 对 用 户 进行 认证 。 认 证 技术 主要 就 是 解决 网 络 
通信 过 程 中 双方 的 身份 认可 ,数字 签名 作为 身份 认证 技术 中 的 一 种 具体 技术 ,还 可 用 于 通信 
过 程 中 不 可 抵赖 要 求 的 实现 。 

1. 用 户 名 与 口令 认证 

在 任何 一 种 安全 系统 中 ,身份 认证 都 是 第 一 步 需 要 进行 的 工作 。 打 开 一 台 计算 机 需要 
进行 用 户 登 录 ; 进入 一 个 E-mail 邮箱 需要 输入 用 户 名 和 密码 。 身 份 认证 的 目的 在 于 向 系 
统 证 明 你 是 何人 ,如 果 认 证 通过 , 则 系统 允许 进入 并 赋予 相 应 的 权限 ,否则 系统 将 禁止 访问 。 

身份 认证 涉及 两 方面 的 信息 : 用 户 身份 识别 号 和 用 户 密码 。 用 户 身 份 识别 号 用 于 唯一 
标识 用 户 身 份 ,在 身份 认证 系统 中 ,用 户 与 身份 识别 号 应 该 一 一 对 应 ,每 一 个 用 户 都 有 一 个 
唯一 的 识别 号 ,每 一 个 识别 号 也 只 能 代表 一 个 用 户 。 用 户 密码 用 于 向 系统 提供 信息 以 验证 
用 户 身份 的 正确 性 ,通常 在 系统 端 有 一 个 用 户 名 和 密码 表 , 通 过 比较 表 中 的 内 容 和 输入 项 可 
以 确定 密码 的 正确 性 。 


64 位 密 文 数据 
Vv 
图 2-12 DES 算法 框图 
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64 位 明文 64 位 密 钥 
1 | 
初始 置换 删除 第 8，16, .… 共 8 位 校 验 信息 
l 
置换 选择 1 
1 
Lo(32) Ro(32) 1 
56 位 初始 子 密 钥 
Ro 
Lo 
7 i 
LS Ls, 
1 1 
Li Ri 
置换 选择 2 = 1 
LS; LS; 
1 
了 
Ly Ra 
“ HAG LS io LS io 
L682) Ria(G32) | | 
a Lis Ris 
道 初始 变换 
| 置换 选择 2 
输出 64 位 密 文 


2-13 DES 运算 过 程 
通过 口令 进行 身份 认证 是 最 常用 的 一 种 认证 方式 ,但 这 种 以 静态 口令 为 基础 的 认证 方 
式 存 在 很 多 问题 ,最 明显 的 是 以 下 几 种 。 


1) 网 络 数据 流 窃听 
由 于 认证 信息 要 通过 网 络 传递 ,并 且 很 多 认证 系统 的 口令 是 未 经 加 密 的 明文 ,因此 攻击 


者 通过 窃听 网 络 数据 ,很 容易 分 辨 出 某 种 特定 系统 的 认证 数据 ,并 提取 出 用 户 名 和 口令 。 

2) 认证 信息 截取 / 重 放 

有 的 系统 会 将 认证 信息 进行 简单 加 密 后 传输 ,如 果 攻 击 者 无 法 用 第 一 种 方式 推算 出 密 
码 , 可 以 使 用 截取 / 重 放 方式 。 


3) 字典 攻击 
由 于 多 数 用 户 习 惯 使 用 有 意义 的 单词 或 数字 作为 密码 , 某 些 攻击 者 会 使 用 字典 中 的 单 


词 来 尝试 用 户 的 密码 。 所 以 大 多 数 系统 都 建议 用 户 在 口令 中 加 入 特殊 字符 以 增加 口令 的 安 
全 性 。 
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4) 穷 举 尝试 

这 是 一 种 特殊 的 字典 攻击 , 它 使 用 字符 串 的 全 集 作为 字典 ,如 果 用 户 的 密码 较 短 ,很 容 
易 被 穷 举 出 来 ,因而 很 多 系统 都 建议 用 户 使 用 长 口令 。 

2. 一 次 性 口令 

为 了 解决 静态 口令 的 诸多 问题 ,安全 专家 提出 了 一 次 性 口令 的 密码 体制 ,以 保护 关键 资 
源 。 其 主要 思路 是 在 登录 过 程 中 加 入 不 确定 因素 ,使 每 次 登录 过 程 中 传送 的 信息 都 不 相同 ， 
从 而 提高 登录 过 程 的 安全 性 。 例 如 : 

登录 密码 二 MD5( 用 户 名 密码 时 间 ) 

系统 接收 到 登录 口令 后 做 一 个 验算 , 即 可 验证 用 户 的 合法 性 。 

如 图 2-14 所 示 的 网 上 银行 手机 动态 密码 功能 ,银行 以 手机 短信 形式 发 送 随机 密码 到 用 
户 的 预 留 手机 上 ,用户 通过 页 面 对 话 ( 见 图 2-14) ,输入 手机 动态 密码 和 相关 业务 密码 ,认证 
用 户 身份 。 只 有 在 用 户 静态 口令 (交易 密码 ) 和 一 次 性 口令 (动态 密码 ) 同 时 正确 的 前 提 下 ， 
才能 认证 通过 ,从 而 提高 对 外 转账 或 其 他 重要 交易 的 安全 性 。 


转账 金额 10, 000. 00 
X52 查 万 元 整 
手续 费 支 付 方式 转 出 方 支付 手续 费 
交易 密码 
动态 密码 | 动态 验证 码 序号 : 80) 如 未 收 到 ,可 在 6 秒 后 点 击 重 发 


图 2-14 网 上 银行 手机 动态 密码 


3. 数字 签名 

日 常生 活 中 ,通过 对 某 一 文档 进行 签名 来 保证 文档 的 真实 有 效 性 ,对 签字 方 进 行 约束 ， 
防止 其 抵赖 。 数 字 签 名 由 公 钥 密码 发 展 而 来 , 它 在 网 络 安全 ,包括 身份 认证 .数据 完整 性 .不 
可 否认 性 以 及 匿名 性 等 方面 有 着 重要 应 用 。 在 网 络 环境 中 使 用 数字 签名 ,可 以 为 电子 商务 
提供 不 可 否认 服务 。 

数字 签名 是 指使 用 密码 算法 对 待 发 的 数据 进行 加 密 处 理 , 生 成 一 段 信息 ,附着 在 原文 上 
一 起 发 送 , 这 段 信息 类 似 现实 生活 中 的 签名 或 印章 ,接收 方 对 其 进行 验证 ,判断 原文 的 真 伪 。 

其 过 程 是 先 用 双方 约定 的 Hash 算法 将 原文 压缩 为 数据 摘要 (在 数学 上 保证 : 只 要 改 
动 报 文 的 任何 一 位 ,重新 计算 出 的 报 文摘 要 就 会 与 原先 值 不 符 , 这 样 就 保证 了 报 文 的 不 可 更 
改 ) ,然后 将 该 摘要 用 发 送 者 的 私 钥 加 密 ,再 将 该 密 文 同 原文 一 起 发 送 给 接收 者 ,所 产生 的 报 
文 即 称 数字 签名 。 

接收 方 收 到 数字 签名 后 ,用 同样 的 Hash 算法 对 报 文 计算 摘要 值 , 然 后 与 用 发 送 者 的 公 
开 密 钥 进行 解密 后 得 到 的 报 文摘 要 值 相 比 较 。 如 相等 则 说 明报 文 确实 来 自发 送 者 ,因为 只 
有 用 发 送 者 的 签名 私 钥 加 密 的 信息 才能 用 发 送 者 的 公 钥 解 开 ,从 而 保证 了 数据 的 真实 性 。 

数字 签名 过 程 如 图 2-15 所 示 。 

4. 基于 PKI 的 认证 

PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 是 利用 公 钥 理论 和 技术 建立 的 提供 安 
全 服务 的 基础 设施 ,是 一 种 遵循 标准 的 利用 公 钥 加 密 技术 为 电子 商务 的 开展 提供 一 套 安 全 
基础 平台 的 技术 和 规范 ,是 电子 商务 的 关键 和 基础 技术 ,是 通过 使 用 公开 密 钥 技术 和 数字 证 
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Bit 收 端 
= 一 一 
收 端 算出 的 
x Ef = | -一 报 文摘 要 
"A 兴 v 比较 
经 过 报 文 K we eh 
Wes | } CERAN 
MD| 加 密 的 报 文 摘要 MD 
附加 在 明文 后 面 
得 出 报 文摘 要 加 密 的 报 文 摘要 得 出 解密 的 报 文摘 要 


图 2-15 数字 签名 过 程 


书 来 确保 系统 信息 安全 并 负责 验证 数字 证 书 持 有 者 身份 的 一 种 体系 ,通过 第 三 方 的 可 信任 
机 构 认证 中 心 (Certificate Authority, CA) ,把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 
称 、E-mail、 身 份 证 号 等 ) 捆 绑 在 一 起 ,在 Internet 上 验证 用 户 的 身份 。 

由 于 通过 网 络 进行 的 电子 商务 .电子 政务 .电子 事务 等 活动 缺少 物理 接触 ,因此 使 得 用 
电子 方式 验证 信任 关系 变 得 至 关 重 要 。 而 PKI 技术 恰好 是 一 种 适合 电子 商务 .电子 政务 、 
电子 事务 的 密码 技术 , 它 能 够 有 效 地 解决 电子 商务 应 用 中 的 机 密 性 真实 性 、 完 整 性 AST 
认 性 和 存 取 控 制 等 安全 问题 。 

从 广义 上 讲 , 所 有 提供 公 钥 加密 和 数字 签名 服务 的 系统 ,都 可 叫做 PKI 系统 ,PKI 的 主 
要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 
种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 机 密 性 ,完整 性 有效 性 。 

数据 的 机 密 性 是 指数 据 在 传输 过 程 中 ,不 能 被 非 授 权 者 偷 看 ; 数据 的 完整 性 是 指数 据 
在 传输 过 程 中 不 能 被 非法 算 改 ; 数据 的 有 效 性 是 指数 据 不 能 被 否认 。 

一 个 实用 的 PKI 体系 应 该 是 安全 的 、 易 用 的 、 灵 活 的 和 经 济 的 。 它 必须 充分 考虑 互 操 
作 性 和 可 扩展 性 。 它 是 认证 机 构 .注册 机 构 .策略 管理 、 密 钥 与 证 书 管理 、 密 钥 备 份 与 恢复 、 
撤销 系统 等 功能 模块 的 有 机 结合 。 

一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 
需要 详细 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 ,一 个 典型 .完整 有效 的 PKI 应 用 系统 至 少 应 
具有 以 下 部 分 : 

。 公 钥 密码 证 书 管理 ; 

。 黑 名 单 的 发 布 和 管理 ; 

。 密 钥 的 备份 和 恢复 ; 

。 自动 更 新 密 钥 ; 

。 自动 管理 历史 密 钥 ; 

。 支持 交叉 认证 。 

基于 PKI 的 认证 使 用 公开 密 钥 体系 进行 认证 和 加 密 ,综合 采用 了 摘要 算法 .不 对 称 加 
密 、 对 称 加 密 、 数 字 签 名 等 技术 ,很 好 地 将 安全 性 和 高 效率 结合 在 一 起 ,广泛 应 用 在 电子 邮 
PE .应 用 服务 器 ,访问 客户 认证 .防火墙 验证 等 领域 。 

具有 数字 签名 功能 的 个 人 安全 邮件 证 书 是 用 户 证 书 的 一 种 , 它 对 普通 电子 邮件 做 加 密 
和 数字 签名 处 理 , 确 保 电子 邮件 内 容 的 安全 性 、 机 密 性 、 发 件 人 身份 确认 性 和 不 可 抵赖 性 。 


28 信息 对 抗 与 网 络 安全 (第 2 版 ) 


具有 数字 签名 功能 的 个 人 安全 邮件 证 书 中 包含 证 书 持 有 人 的 电子 邮件 地 址 .证 书 持 有 人 的 
公 钥 、 颁 发 者 以 及 颁发 者 对 该 证 书 的 签名 。 

使 用 个 人 安全 邮件 证 书 可 以 收发 加 密 和 数字 签名 邮件 ,保证 电子 邮件 传输 中 的 机 密 性 、 
完整 性 和 不 可 否认 性 ,确保 电子 邮件 通信 各 方 身份 的 真实 性 。 目 前 , MS Outlook, Outlook 
Express, Foxmail 等 电子 邮件 系统 均 支 持 相 应 功能 。 

【 例 2-1】 安全 邮件 证 书 的 申请 。 

d) 在 浏览 器 中 输入 “中 国 数字 认证 网 ”网 址 www. ca365. com, 第 一 次 访问 时 自动 出 现 
如 图 2-16 所 示 的 “添加 证 书 ” 对 话 框 。 

(2) 单 击 “ 是 ”按钮 ,出 现 “ 安 全 警告 ”对话 框 ,如 图 2-17 所 示 。 


安全 敬告 E 
nN 修 即 将 从 一 个 声称 代表 如 下 的 证 书 颁发 机 构 安装 证 书 ; 
CASES Test Root Certificate 
ee ht AP, 
程 中 对 您 有 帮助 
潜在 的 胸 本 冲突 指纹 (shal): 39640899 AD4C9ECT BCF9BB4E 6E60226D CDGESBAD 


A ee E et 
SSRIS? 


alan elt 如果 您 信任 此 网 站 ， 请 单 击 “ 是 ”。 否 则 ,请 单 


C o C 


图 2-16 添加 证 书 对 话 框 图 2-17 “安全 警告 "对 话 框 


G) 单 击 “ 是 ”按钮 ,完成 安装 后 的 网 站 首页 如 图 2-18 所 示 。 


本 中 国 数 字 认 证 网 - 360 安 全 浏览 器 240 S80 SEV 收藏 W IAD 帮助 由 [Et 
E>- OFSA: [@ http:z/www.ca365.com/ > liki: GB cooate -Qa) 


i BR 前 进 停止 剧 新 主页 撤销 : 
Eo peice... x EKES] 


Hil 347 中 国 数字 认证 网 


CAAH) — 详情 >》 
证 书 查 询 % ”9 用 PKCS10 文 件 中 请 证 书 9 ”。 用 表格 申请 证 书 9 
+O 根 CA 证 书 。 ”加 果 你 是 第 一 次 沪 问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 


+ ”证书 吊 销 列表 。 发布 时 间 : 2006-6-25 11:25:50 


CU EN a 详情 >> 
寻 证 书 查 询 9 引用 PECS10 文 件 申请 证 书 3 s 用 表格 申请 证 书 9 
+ 根 cA 证 书 如 果 您 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 


+ 证 书 吊销 列表 。 发 布 时 间 : 2006-6-25 13:27:40 


| _ WDD — i> 
3 证 书 查 淘 9。 ?用 PKCS10 文 件 申请 证 书 © o 用 表格 申请 证 书 © 

+ MATH ”如 果 悠 是 第 一 次 沪 问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 

+ “证书 吊销 列表 。 发 布 时 间 : 2008-6-2 10:48:14 


a 


TOP CSS 


版 权 所 有 ”严禁 拷贝 
一 寺 Trp 芯 nrsnaoco 瑟 -7 | 


[oE B&B Doo% 


2-18 网 站 首页 
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格 ,“ 证 书 用 途 ” 栏 目 中 选择 “电子 邮件 保护 证 书 ”, 如 图 2-19 所 示 。 


BO eae x J nsx 
5 


申请 免费 证 书 《请 关闭 “网 际 块 车 ”等 自动 下 载 工具 


识别 信息 : 
名 称 : (RSE 


| 
公司 : [TA | 
部 门 : | 个 人 | 
城市 : | 上 海 ] 

| 


国家 (地 区 ): [cw 


电子 邮件 : [heinhe8126. con ] 
Pik: [http://hein blogen com | 


证 书 期 限 : | 一 年 而 
证 书 用 途 : 


ENEE: 
MERS: [nicrosoFt Dere Cryptographic Provider vi 0 E 
TUM: 〇 交换 OF% OMF 


Th [512 J AEE eanet: szw) 


TOP CSS 


BORA FRARI 
RENA | 


© EF 对 
Oemssen 
ORRRFNEW 
BRAFRENMIP 
回 标记 定 忆 为 可 导出 
init: 
Hash 算法 : [su lc RAF eiRES> 


档案 : OFM HiPAOHEBER LAER) 
OFFR CT AHEMEBE LATER) 


2-19 填写 申请 表格 


(5) 单 击 “ 提 交 ” 按 钮 ,出 现 如 图 2-20 所 示 的 对 话 框 。 


EM APS 
A 此 网 站 正在 1 一 个 新 的 证 书 。 修 应 该 只 允许 信任 的 网 站 为 炊 请 求证 书 。 


ERRI 


图 2-20 请 求证 书 对 话 框 
(6) 单 击 “ 是 ”按钮 ,出 现 “ 正 在 创建 新 的 RSA 交换 密 钥 ”对 话 框 ,如 图 2-21 所 示 。 


自在 创建 暂 的 RSA HSH 


CryptoAPI $ 


ea 


2-21 “正在 创建 新 的 RSA 交换 密 钥 ”对 话 框 


30 信息 对 抗 与 网 络 安 全 (第 2 版 ) 


(7) 单 击 “确定 ”按钮 ,证 书 申请 成 功 , 如 图 2-22 所 示 。 


E PEA 240 #80 SEV tea Iam aan lla 


| > z Oz 全 RN D) http://www.ca365.com/ = 


aie ist 停止 局 新 主页 撤销 : 


图 2-22 证 书 申请 成 功 
(8) 单 击 “ 直 接 安装 证 书 ” 按 钮 ,出 现 如 图 2-23 所 示 的 对 话 框 。 


洪 在 的 脚本 冲突 


A :和 


您 想 让 此 程 友 现 在 添加 证 书 吗 ? 如 果 您 信任 此 网 站 ,请 单 击 “ 是 ”。 否 则 ,请 单 击 “ 否 ”。 


图 2-23 安装 证 书 
(9) 单 击 “是 ”按钮 ,安装 成 功 后 ,页 面 如 图 2-24 所 示 。 
E 中 国 数字 认证 .， iO S50 SEV 收藏 IAD 帮助 [一 | 号 |X 


[#>-9Ff0%: : [D he hetp://www.ca365.com/ > lab 
iB 前 进 ”停止 剧 新 主页 撤销 : pe 


图 2-24 安装 成 功 


(10) 根 证 书 成 功 安装 后 成 为 “受信 任 的 根 证 书 颁发 机 构 ”。 执 行 浏览 器 的 “工具 ”| 
“Internet 选项 ”命令 ,选择 “内 容 ? 选 项 卡 ,如 图 2-25 所 示 。 

AD 单 击 “ 证 书 ” 图 标 ,出 现 “ 证 书 ” 对 话 框 ,如 图 2-26 所 示 ,列表 中 显示 相应 的 根 证 书 。 

【 例 2-2】 安全 邮件 证 书 的 使 用 。 

(1) 打开 电子 邮件 软件 Foxmail, 如 图 2-27 所 示 。 
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| & 人 Internet 


| UE BMA ， 好 记 的 名 称 
CASES Free Root ... 2010-7-28 > 


三 个 人 信息 


Ee 


了 证 书 的 预期 目的 


CU cane 


图 2-25 “内 容 " 选 项 卡 


Foxmail [heinhe@126. com] 

XED SEW 邮箱 @) 邮件 如 TAG HAD 

$-42/)2-8- 8-2-2 Gd 
回复 2s 地 址 湾 

Qv 搜索 heinhealzg -cm 


二 一 一 一 一 一 一 于 


名 搜索 KFA EF Emils $ 


E (2) hexuechen@shiep. edu. cn 
田园 =henl119638126. com 
困 (Oj heinBeitiz.net 


图 2-27 Foxmail 界面 


(2) 右 击 申请 时 填写 的 邮箱 ,执行 “属性 ?命令 ,出 现 * 邮 箱 账户 设置 ?对 话 框 , 单 击 “ 安 
全 ”选项 ,如 图 2-28 所 示 。 


(3) 单 击 “ 选 择 ” 按 钮 ,出 现 “ 选 择 证 书 ” 对 话 框 ,如 图 2-29 所 示 。 
(4) 选择 申请 的 证 书 , 单 击 “ 确 定 ” 按 钮 “邮箱 账户 设置 ”对话 框 如 图 2-30 所 示 。 


G) 单 击 “ 确 定 ” 按 钮 ,返回 主 界面 。 撰 写 邮 件 , 执 行 “工具 ”|“ 数 字 签 名 ”命令 , 单 击发 
送 ” 按 钮 ,出 现 如 图 2-31 所 示 的 对 话 框 。 
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邮箱 账户 设置 圆 


E heinhe@126. com 


安全 
Brews 5 和 
EE = = 
LS a= 
信纸 | 
| : | 
ia ; 
iy | Eocene AMELE IREAC ERNE 
a Sf | 
| ‘SDES (168 bits) 4 
a 
Œ) 


图 2-28 邮箱 账户 设置 


请 为 电子 邮件 地 址 “heinhe8126. com” 选 择 证 书 。 


颁发 给 RRS 证 书 用 途 | 友好 名 称 
cape: REA CASES 了 安全 电子 


确定 取消 Beir wv) 


图 2-29 选择 证 书 

(OD heimhe@126. com 

a = 正在 用 您 的 考 用 交换 密 角 签名 数据 
B irora ed 
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图 2-30 证 书信 息 图 2-31 在 电子 邮件 中 添加 数字 签名 


(6) 单 击 “ 确 定 ” 按 钮 ,完成 邮件 发 送 。 

(7) 接收 并 查看 邮件 ,显示 “数字 签名 邮件 ”帮助 信息 ,如 图 2-32 所 示 。 

(8) 单 击 “ 继 续 " 按 钮 ,查看 邮件 内 容 。 单 击 右 上 角 的 “显示 签名 信息 "图标 图 ,可 以 查 
看 签名 信息 ,如 图 2-33 所 示 。 
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GE) Mineitiz net 他 人 的 数字 签名 邮件 能 够 让 您 确认 一 封 闻 件 的 真实 性 一 即 邮 件 确实 来 自 该 发 
件 人 ， 且 在 传输 过 程 中 未 被 复 改 过 。 签 名 邮件 带 有 签名 邮件 图 标 。 


签名 邮件 可 能 出 现 的 任何 问题 都 将 在 本 信息 之 后 可 能 出 现 的 “安全 警告 "中 
如 果 存 在 问题 ， 您 应 该 认为 邮件 已 被 复 改 ， 或 并 非 来 自 所 谓 的 发 
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EIEN TNE NTN 
图 2-32 数字 签名 邮件 帮助 信息 


| 常规 “| tome | 
签名 
邮件 是 否 被 签名 : 
数字 签名 方 : HIR 


推荐 的 加 窜 算 法 : RC2 (40bits) 


BeEsirsw... 添加 到 地 址 答 A) 
wE = 
邮件 是 否 被 加 密 : E 


图 2-33 查看 签名 信息 
(9) 访问 “中 国 数字 认证 网 ”, 单 击 其 中 的 “证 书 查询 ?选项 ,出现 如 图 2-34 所 示 的 页 面 。 


(10)“ 选 择 查询 项 目 " 为 名称”, 在 "输入 查询 内 容 " 中 输入 “ 贺 雪 晨 ”, 单 击 “ 查 询 ” 按 钮 ， 
可 以 看 到 数字 证 书 的 相关 信息 ,如 图 2-35 所 示 。 
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2-35 证 书 查询 结果 


5. SSL 协议 和 SET 协议 

基于 PKI 技术 ,人 们 又 开发 了 很 多 安全 协议 ,其 中 最 著名 .应 用 最 为 广泛 的 是 SSL 协议 
和 SET 协议 。 

SSL(Secure Socket Layer, 安 全 套 接 层 ) 协 议 利 用 PKI 技术 进行 身份 认证 、 完 成 数据 加 
密 算法 及 其 密 钥 协商 ,很 好 地 解决 了 身份 验证 .加 密 传输 和 密 钥 分 发 等 问题 。SSL 被 广泛 
接受 和 使 用 ,是 一 个 通用 的 安全 协议 ,在 SSL 协议 上 可 以 运行 所 有 基于 TCP/IP 的 网 络 应 
用 。SSL 协议 通信 过 程 如 图 2-36 所 示 。 

SET(Secure Electronic Transaction ,安全 电子 交易 ) 协 议 采 用 公 钥 密码 体制 和 X. 509 
数字 证 书 标准 ,主要 应 用 于 B to C 模式 中 保障 支付 信息 的 安全 性 。SET 协议 是 PKI 框架 下 
的 一 个 典型 实现 ,同时 也 在 不 断 升级 和 完善 ,国外 的 银行 和 信用 卡 组 织 大 都 采用 了 SET 协 
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议 。SET 协议 工作 流程 如 图 2-37 所 示 。 
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2-37 SET 协议 工作 流程 


SET 协议 比 SSL 协议 复杂 ,在 理论 上 安全 性 也 更 高 。 因 为 前 者 不 仅 加 密 两 个 端点 间 的 
单个 会 话 , 还 可 以 加 密 和 认定 三 方面 的 多 个 信息 ,这 是 SSL 协议 不 能 解决 的 问题 。 使 用 
SET 协议 ,在 一 次 交易 中 ,要 完成 多 次 加 密 与 解密 操作 ,由 于 其 对 于 消费 者 、 客 户 和 银行 三 
方面 的 要 求 都 非常 高 ,因此 不 容易 推广 ,而 SSL 协议 则 以 其 便捷 性 和 可 以 满足 现实 要 求 的 
安全 性 得 到 不 少 用 户 的 青睐 。 

由 于 在 基于 SET 协议 的 交易 流程 中 ,最 主要 的 一 点 就 是 要 确认 交易 各 方 的 身份 ,这 就 
要 求 通过 电子 安全 证 书 进行 检验 ,而 这 些 证 书 要 由 CA 认证 中 心 来 发 放 , 在 SET 中 主要 的 
证 书 有 持 卡 人 证 书 、 商 户 证 书 和 支付 网 关 证 书 。 

下 面 是 基于 SET 协议 的 网 上 购物 (BtoC) 的 简单 过 程 : 

(1) 客户 在 自己 的 计算 机 里 安装 一 个 电子 钱包 ,然后 到 CA 认证 中 心 去 申请 一 个 证 书 ; 

(2) 客户 通过 浏览 器 在 某 网 上 商店 选 好 商品 ,把 它 放 到 购物 篮 里 结算 ,在 结账 单 里 填写 
姓名 地址 、 联 系 方式 ,启动 电子 钱包 ,输入 密码 ,在 电子 钱包 里 选 一 张 卡 来 付款 ; 

(3) 计算 机 上 出 现 一 个 确认 商店 的 窗口 ,这 就 是 来 自 于 CA 和 支付 网 关 的 信息 : 商家 证 
书 正在 验证 这 家 商店 是 否 为 已 经 通过 认证 的 真实 商店 ; 

(4) 确认 商店 后 ,接着 验证 客户 的 账户 里 是 否 有 足够 的 钱 。 当 通过 支付 网 关 进入 银行 
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网 络 完 成 验证 并 反馈 回来 的 时 候 ,客户 卡 中 的 钱 实 际 上 已 经 从 账户 中 扣除 了 ,客户 的 购物 程 
序 已 经 完成 ; 

(5) 银行 从 客户 账户 中 扣 出 的 货款 并 没有 马上 放 到 商户 的 账户 里 ,银行 会 定时 自动 生 
成 一 个 报表 ,然后 跟 商户 服务 器 上 生成 的 报表 一 一 对 照 , 一 旦 确认 ,银行 才 会 把 款 划 到 商户 
的 账户 里 ; 

(6) 商户 根据 服务 器 收 到 的 订购 要 求 和 订单 号 码 开始 发 货 。 

在 基于 SET 协议 的 整个 交易 过 程 中 ,银行 只 看 到 客户 卡 信息 而 看 不 到 订单 信息 ,商户 
只 看 到 订单 信息 , 见 不 到 客户 卡 信息 ,这 样 就 保证 了 整个 交易 过 程 的 完整 性 .保密 性 和 安 
全 性 。 


2.3.5 密 钥 管 理 


“秘密 必须 全 部 寓于 密 钥 之 中 ”, 这 是 密码 学 的 一 个 公理 。 要 想 保 得 住 密 , 不 仅仅 是 把 密 
码 体制 (算法 ?设计 得 当 就 行 了 ,而 且 对 密码 体制 (算法 ) 的 使 用 、 密 码 设备 的 使 用 以 及 密 钥 管 
理 都 要 得 当 才 行 。 

密 钥 管 理 包 括 密 钥 的 产生 、 分 配 注入, 存储、 传递 和 使 用 ,其 中 密 钥 的 分 配 最 为 关键 。 

1. 共享 密 钥 的 获得 

两 个 用 户 A 和 B 在 用 单 密 钥 密码 体制 进行 保密 通信 时 ,必须 有 一 个 共享 的 秘密 密 钥 ， 
获得 共享 密 钥 的 方法 有 以 下 几 种 : 

(1) 密 钥 由 A 选取 并 通过 物理 手段 发 送 给 Bo 

(2) 密 钥 由 第 三 方 选取 并 通过 物理 手段 发 送 给 A AB. 

这 两 种 方法 称 为 人 工 发 送 。 在 通信 网 中 ,车 只 有 个 别 用 户 想 进行 保密 通信 ,人 工 发 送 密 
钥 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支持 加 密 服务 , 则 任意 一 对 希望 通信 的 用 户 都 必须 
有 一 个 共享 密 钥 。 对 个 用 户 , 密 钥 数 目 为 n(n 一 1)/2。 因 此 当 很 大 时 , 密 钥 分 配 的 代价 
非常 大 ,人 工 发 送 密 钥 是 不 可 行 的 。 

G) 如 果 A.B 事 先 已 有 一 密 钥 , 则 其 中 一 方 选 取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 钥 
并 发 送 给 另 一 方 。 

对 于 第 三 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 后 ,就 可 以 获取 以 后 所 有 的 密 钥 。 而 且 用 这 
种 方法 对 所 有 用 户 分 配 初始 密 钥 时 ,代价 仍然 很 大 。 

(4) WR A 和 B 与 第 三 方 C 分 别 有 一 保密 信道 , 则 C 为 A、B 选取 密 钥 后 ,分 别 在 两 个 
保密 信道 上 发 送 给 A、B。 

第 四 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 。 
每 一 个 用 户 与 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 为 主 密 钥 。 通 过 主 密 钥 分 配给 一 对 用 户 的 
密 钥 称 为 会 话 密 钥 ,用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ,会 话 密 钥 即 被 销毁 。 对 
n 个 用户, 会 话 密 钥 数 为 n(n 一 1)/2, 但 主 密 钥 数 却 只 需 n 个 。 

2. 多 密 钥 的 管理 

假设 某 机 构 有 100 人 ,如 果 任 意 两 人 之 间 需 要 进行 保密 通信 , 且 任 何 两 人 之 间 需 要 不 同 
的 密 钥 , 则 每 个 人 应 记 住 99 个 密 钥 。 如 果 机 构 的 人 数 是 1000,10 000 或 更 多 ,这 种 办 法 就 
显然 过 于 愚蠢 了 ,管理 密 钥 将 是 一 件 可 怕 的 事情 。 
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在 希腊 神话 中 ,Kerberos 是 守护 地 狱 之 门 的 三 头 狗 。 在 计算 机 世界 里 ,美国 麻 省 理工 
学 院 C(MIT) 把 他 们 开发 的 ,根据 密 匙 分 配 中 心 (Key Distribution Center,KDC) 来 验证 网 络 
中 计算 机 身份 的 系统 命名 为 Kerberos。 

Kerberos 提供 了 一 种 解决 多 密 钥 管理 的 较 好 方案 ,每 个 用 户 只 要 知道 一 个 和 KDC 进 
行 会 话 的 密 钥 ,而 不 需要 知道 成 百 上 千 个 不 同 的 密 钥 。 

假设 用 户 甲 想 同 用 户 乙 进行 保密 通信 , 则 用 户 甲 先 与 KDC 通信 ,使 用 只 有 用 户 甲 和 
KDC 知道 的 用 户 甲 的 主 密 钥 进行 加 密 。 用 户 甲 告诉 KDC 他 想 和 用 户 乙 进行 通信 ,KDC 会 
为 用 户 甲 和 用 户 乙 之 间 的 会 话 随机 选择 一 个 会 话 密 钥 ,并 生成 一 个 标签 。 

这 个 标签 用 用 户 乙 的 主 密 钥 进行 加 密 , 并 在 用 户 甲 启动 与 用 户 乙 的 会 话 时 ,用 户 甲 把 这 
个 标签 交 给 用 户 乙 。 这 个 标签 的 作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ,而 不 是 冒充 者 。 
因为 这 个 标签 是 通过 只 有 用 户 乙 和 KDC 知道 的 用 户 乙 的 主 密 钥 进行 加 密 的 ,所 以 即使 冒 
充 者 得 到 用 户 甲 发 出 的 标签 也 不 可 能 进行 解密 ,只 有 用 户 乙 收 到 后 才能 够 进行 解密 ,从 而 确 
定 与 用 户 甲 对 话 的 人 就 是 用 户 乙 。 

KDC 生成 随机 会 话 密 钥 后 ,将 其 用 用 户 甲 的 主 密 钥 进行 加 密 , 然 后 把 它 传 给 用 户 甲 ,加 
密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 信息 ,只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 
进行 通话 。 同 理 ,KDC 将 会 话 密 钥 用 用 户 乙 的 主 密 钥 加 密 , 并 将 其 传 给 用 户 乙 。 

用 户 甲 启动 一 个 同 用 户 乙 的 会 话 , 并 用 得 到 的 会 话 密 钥 加 密 自 己 和 用 户 乙 的 会 话 ,还 要 
把 KDC 传 给 它 的 标签 传 给 用 户 乙 以 确定 用 户 乙 的 身份 ,然后 用 户 甲 和 用 户 乙 之 间 就 可 以 

会 话 密 钥 进 行 安 全 的 会 话 了 。 

为 了 保证 安全 ,这 个 会 话 密 钥 是 一 次 性 的 ,这 样 黑客 就 更 难 进行 破解 了 。 同 时 用 户 只 需 

记 住 自己 的 密 钥 ,方便 了 人 们 的 通信 。 


2.3.6 密码 学 新 技术 


目前 国际 上 对 于 非 数 学 的 密码 理论 和 技术 非常 关注 ,包括 量子 密码 .基于 生物 特征 的 密 
码 技术 等 。 

1. 量子 密码 

从 理论 上 说 ,传统 的 基于 数学 的 加 密 方法 都 是 可 以 破译 的 ,再 复杂 的 数学 密 钥 也 可 以 找 
到 规律 。 但 量子 密码 突破 了 传统 加 密 方法 的 束缚 ,以 量子 状态 作为 密 钥 ,具有 不 可 复制 性 ， 
是 真正 无 法 破译 的 密码 ,是 “绝对 安全 ”的 。 

量子 密码 学 的 理论 基础 是 量子 力学 .而 以 往 密码 学 的 理论 基础 是 数学 。 与 传统 密码 学 
不 同 ,量子 密码 学 利用 物理 学 原理 保护 信息 。 首 先 想 到 将 量子 物理 用 于 密码 技术 的 是 美国 
科学 家 威 斯 纳 。 威 斯 纳 在 “ 海 森 堡 测 不 准 原理 "和 “ 单 量 子 不 可 复制 定理 ”的 基础 上 ,逐渐 建 
立 了 量子 密码 的 概念 。 

量子 密码 最 基本 的 原理 是 “量子 纠缠 ”, 被 爱 因 斯 坦 称 为 “神秘 的 远 距 离 活动 ”* 的 量子 纠 
缠 , 是 指 粒 子 间 即 使 相距 遥远 也 是 相互 联结 的 。 大 多 数量 子 密码 通信 利用 的 都 是 光子 的 偏 
振 特 性 ,一 对 纠缠 的 光子 一 般 有 两 个 不 同 的 偏振 方向 ,就 像 计算 机 语言 里 的 0 和 1。 根 据 量 
子 力学 原理 ,在 光子 对 中 ,光子 的 偏振 方向 是 不 确定 的 ,只 有 当 其 中 一 个 光子 被 测量 或 受到 
干扰 , 它 才 有 明确 的 偏振 方向 ,而 一 旦 它 的 偏振 方向 被 确定 ,另外 一 个 光子 就 被 确定 为 与 之 
相关 的 偏振 方向 。 当 两 端的 检测 器 使 用 相同 的 设 定 参数 时 ,发 送 者 和 接收 者 就 可 以 收 到 相 
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同 的 偏振 信息 ,也 就 是 相同 的 随机 数字 串 。 另 外 ,量子 力学 认为 ,粒子 的 基本 属性 存在 于 整 
个 组 合 状态 中 ,所 以 由 纠缠 光子 产生 的 密码 只 有 通过 发 送 器 和 接收 器 才能 阅读 。 窃 听 者 很 
容易 被 检测 到 ,因为 他 们 在 偷 走 其 中 一 个 光子 时 不 可 避免 地 要 扰乱 整个 系统 。 

当前 量子 密码 研究 的 核心 内 容 是 如 何 利用 量子 技术 在 量子 通道 上 安全 可 靠 地 分 配 密 
钥 。 量 子 密 钥 分 配 的 安全 性 由 “ 海 森 堡 测 不 准 原理 ”及 “ 单 量子 不 可 复制 定理 "保证 。“ 海 森 
保 测 不 准 原理 ”是 量子 力学 的 基本 原理 , 它 说 明了 观察 者 无 法 同时 准确 地 测量 待 测 物 的 “位 
置 ”与 “动量 "。“ 单 量子 不 可 复制 定理 "是 “ 海 森 堡 测 不 准 原理 ”的 推论 , 它 指 在 不 知道 量子 状 
态 的 情况 下 复制 单个 量子 是 不 可 能 的 ,因为 要 复制 单个 量子 就 只 能 先 作 测量 ,而 测量 必然 改 
变量 子 的 状态 。 根 据 这 两 个 原理 ,即使 量子 密码 不 幸 被 黑客 获取 ,也 因为 测量 过 程 中 会 改变 
量子 状态 ,而 得 到 毫 无 意义 的 数据 ,同时 信息 合法 接收 者 也 可 以 从 量子 状态 的 改变 而 知道 密 
钥 曾 被 截获 过 。 

目前 ,量子 密码 的 全 部 研究 还 在 实验 室 中 ,没有 进入 实用 阶段 。2008 年 底 , 欧 洲 研 究 人 
员 成 功 地 进行 了 量子 密 钥 分 布 演示 ,演示 内 容 包 括 电话 通信 和 视频 会 议 以 及 一 个 关于 "基于 
量子 加 密 的 安全 通信 网 络 "(SECOQC) 功 能 的 路 由 实验 验证 ,实验 的 平均 链 路 长 度 为 20 一 
30km, 最 长 链 路 长 达 83km, 这 一 结果 已 完全 打破 了 以 往 的 所 有 记录 ,从 而 使 安全 量子 加 密 
通信 系统 的 实用 化 又 迈 出 了 巨大 的 一 步 。 

2. 基于 生物 特征 的 密码 技术 

生物 识别 技术 (Biometric Identification Technology,BIT) 是 利用 人 体 生 物 特 征 进行 身 
份 认 证 的 一 种 技术 。 这 些 身 体 特 征 包 括 指 纹 .声音 ` 面 部 .骨架 .视网膜 .虹膜 和 DNA 等 人 
体 的 生物 特征 ,以 及 签名 的 动作 ,行走 的 步 态 . 击 打 键 盘 的 力度 等 个 人 的 行为 特征 。 

生物 识别 技术 的 核心 在 于 如 何 获取 这 些 生 物 特征 ,并 将 其 转换 为 数字 信息 ,存储 于 计算 
机 中 ,利用 可 靠 的 匹配 算法 来 完成 验证 与 识别 个 人 身份 。 

生物 特征 识别 系统 分 为 硬件 和 软件 两 部 分 ,硬件 部 分 包括 负责 测量 的 传感器 ,软件 则 将 
记录 资料 用 以 比较 。 

图 像 分 析 技术 的 发 展 . 计 算 机 功能 的 提升 ,传感器 成 本 的 下 降 , 是 促成 生物 特征 识别 技 
术 发 展 的 要 素 。 

生物 识别 之 所 以 能 够 作为 个 人 身份 鉴别 的 有 效 手段 ,是 由 它 自身 的 特点 所 决定 的 ,这 些 
特点 是 普遍 性 、 唯 一 性 、 稳 定性 .不 可 复制 性 。 

(1) 普遍 性 : 生物 识别 所 依赖 的 身体 特征 基本 上 是 人 人 生来 就 有 的 ,用 不 着 向 有 关 部 
门 申请 或 制作 。 

(2) 唯一 性 和 稳定 性 : 每 个 人 的 指纹 、 掌 纹 、 面 部 发音、 虹膜 ,视网膜 ,骨架 等 都 与 别人 
不 同 , 且 终 生 不 变 。 

(3) 不 可 复制 性 : 随 着 计算 机 技术 的 发 展 ,复制 钥匙 、 密 码 卡 以 及 盗 取 密 码 、 口 令 等 都 
变 得 越发 容易 ,然而 要 复制 人 的 活体 指纹 . 掌 纹 ` 面 部 .虹膜 等 生物 特征 就 困难 得 多 。 

所 有 生物 识别 系统 都 包括 以 下 几 个 处 理 过 程 : 采集 、 解 码 、 比 对 和 匹配 。 

生物 图 像 采集 使 用 高 精度 的 扫描 仪 .摄像 机 等 光学 设备 ,以 及 基于 电容 .电场 技术 的 唱 
体 传 感 芯 片 , 超 声波 扫描 设备 、 红 外线 扫描 设备 等 。 在 数字 信息 处 理 方面 ,高 性 能 、 低 价格 的 
数字 信号 处 理 器 已 开始 大 量 应 用 于 民用 领域 ,其 对 于 系统 所 采集 的 信息 进行 数字 化 处 理 的 
功能 也 越 来 越 强 。 在 比 对 和 匹配 技术 方面 ,各 种 先进 的 算法 不 断 开发 成 功 ,大 型 数据 库 和 分 
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布 式 网 络 技术 的 发 展 , 使 得 生物 识别 系统 的 应 用 得 以 顺利 实现 。 

3. 指纹 识别 系统 

指纹 是 人 体 独 一 无 二 的 特征 ,它们 的 复杂 度 足 以 提供 用 于 鉴别 的 特征 ,可 靠 性 高 。 

1) 指纹 识别 技术 的 优点 

相对 于 其 他 身份 认证 技术 ,指纹 识别 技术 是 一 种 更 为 理想 的 身份 确认 技术 ,因为 它 具 有 
很 高 的 实用 性 、 可 行 性 ,具体 体现 在 以 下 几 个 方面 : 

(1) 每 个 人 的 指纹 都 是 独一无二 的 ,两 个 人 之 间 不 存在 着 相同 的 指纹 。 

(2) 每 个 人 的 指纹 是 相当 固定 的 ,不 会 随 着 人 的 年 龄 的 增长 或 身体 健康 程度 的 变化 而 
变化 ,但 是 人 的 声音 等 却 存在 较 大 变化 的 可 能 。 

(3) 指纹 样本 便于 获取 ,易于 开发 识别 系统 ,实用 性 强 。 目 前 已 有 标准 的 指纹 样本 库 ， 
方便 了 识别 系统 的 软件 开发 ; 另外 ,识别 系统 中 完成 指纹 采样 功能 的 硬件 部 分 也 较 易 实现 。 
而 视网膜 则 难于 采样 ,也 没有 标准 的 视网膜 样本 库 供 开发 者 使 用 ,这 就 导致 视网膜 识别 系统 
难以 开发 ,可 行 性 较 低 。 

(4) 一 个 人 的 十 指 指纹 皆 不 相同 ,这样 可 以 方便 地 利用 多 个 指纹 构成 多 重 口令 ,提高 系 
统 的 安全 性 。 

(5) 指纹 识别 中 使 用 的 模板 并 非 最 初 的 指纹 图 ,而 是 从 指纹 图 中 提取 的 关键 特征 ,这 样 
使 系统 对 模板 库 的 存储 量 较 小 。 另 外 ,对 输入 的 指纹 图 提取 关键 特征 后 ,可 以 大 大 减少 网 络 
传输 的 负担 ,便于 实现 异地 确认 ,支持 计算 机 的 网 络 功能 。 

2) 指纹 的 关键 特征 

指纹 的 关键 特征 包括 总 体 特征 和 局 部 特征 。 只 要 比 对 13 个 特征 点 重合 ,就 可 以 确认 为 


是 同一 个 指纹 。 
总 体 特征 是 指 那些 用 肉眼 直接 就 可 以 观察 到 的 特征 ,包括 纹 形 .模式 区 、 核 心 点 、 三 角 点 
和 纹 数 。 


(1) 纹 形 主要 有 环 型 .号 型 .螺旋 型 三 种 ,如 图 2-38 所 示 , 其 他 指纹 图 案 都 是 基于 这 三 
种 基本 图 案 的 。 

(2) 图 2-39 所 示 的 模式 区 是 指 指纹 上 包括 了 总 体 特 征 的 区 域 , 从 模式 区 就 能 够 分 辨 出 
此 纹 是 属于 那 一 种 类 型 的 ,有 的 指纹 识别 算法 只 使 用 模式 区 的 数据 。 


(a) 环 型 (b) 弓 型 (0) 螺旋 型 
图 2-38 aH 图 2-39 模式 区 


(3) 图 2-40 所 示 的 核心 点 位 于 指纹 纹路 的 渐进 中 心 , 它 在 读 取 指纹 和 比 对 指纹 时 作为 
参考 点 。 许 多 算法 是 基于 核心 点 的 ,只 能 处 理 和 识别 具有 核心 点 的 指纹 。 

(4) 图 2-41 所 示 的 三 角 点 位 于 从 核心 点 开始 的 第 一 个 分 又 点 或 者 断 点 ,或 者 两 条 纹路 
会 聚 处 .孤立 点 、. 折 转 处 。 三 角 点 提供 了 指纹 纹路 计数 跟踪 的 开始 之 处 。 
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(5) 图 2-42 所 示 的 纹 数 指 模 式 区 内 指纹 纹路 的 数量 。 在 计算 指纹 纹 数 时 ,一 般 先 连 接 
核心 点 和 三 角 点 ,这 条 连 线 与 指纹 纹路 相交 的 数量 即 可 认为 是 指纹 的 纹 数 。 


CORE 


Lf}. 
Bw A 


B B 7 


图 2-40 核心 点 图 2-41 三 角 点 E 2-42 ZH 


局 部 特征 是 指 指纹 上 结 点 的 特征 ,这 些 具 有 某 种 特征 的 结 点 称 为 特征 点 。 指 纹 纹路 并 
不 是 连续 的 .平滑 笔直 的 ,而 是 经 常 出 现 中 断 、 分 叉 或 打折 ,这 些 断 点 .分 又 点 和 转折 点 就 称 
为 特征 点 。 两 枚 指纹 经 常会 具有 相同 的 总 体 特 征 , 但 它们 的 局 部 特征 (特征 点 ) , 却 不 可 能 完 
全 相同 。 就 是 这 些 特 征 点 提供 了 指纹 唯一 性 的 确认 信息 。 

3) 指纹 识别 系统 的 处 理 流 程 

指纹 识别 系统 的 处 理 流程 包括 指纹 图 像 的 采集 、 图 像 特 征 的 提取 和 分 析 、 比 对 和 匹配 三 
部 分 ,如 图 2-43 所 示 。 


一 = 注册 登记 
一 查证 鉴定 


2-43 ”指纹 识别 系统 


指纹 图 像 的 采集 可 以 采用 光学 录入 技术 (将 手指 放 在 一 个 用 加 膜 的 玻璃 制 成 的 台 板 
上 )、 超 声波 录入 技术 (手指 不 必 直 接 接 触 台 板 ,使 用 超声 波 进行 扫描 )、 芯 片 录入 技术 (将 手 
指 放 在 一 枚 邮票 大 小 的 硅 芯 片 的 表面 ) 三 种 方法 完成 指纹 图 像 的 录入 。 然 后 对 图 像 特 征 进 
行 提取 、 分 析 , 最 后 依照 特征 值 与 数据 库 中 原来 存储 的 指纹 图 像 特征 进行 比 对 和 匹配 。 

4) 常见 指纹 识别 系统 

除了 传统 的 公安 自动 指纹 识别 系统 及 如 图 2-44 所 示 的 门禁 系统 外 ,还 出 现 了 指纹 键 
盘 、 指 纹 鼠 标 、 指 纹 手机 等 产品 。 

CL) 指纹 鼠标 : 在 如 图 2-45 所 示 的 指纹 鼠标 上 ,使 用 者 通过 轻 敲 位 于 鼠标 上 端的 指 尖 
传感器 ,鼠标 驱动 查找 已 经 被 输入 PC 系统 的 模块 并 进行 对 比 。 一 旦 指纹 被 识别 ,使 用 者 就 
可 以 启动 PC 的 操作 系统 。 为 了 安全 起 见 , 如 果 长 时 间 不 动 鼠 标 , 它 将 自动 启动 屏幕 保护 程 
序 ,直到 使 用 者 再 次 触摸 鼠标 的 指 尖 传感器 为 止 。 
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(a) 指纹 IC 卡 识 别 器 (b) 指纹 锁 (c) 指纹 保险 箱 
图 2-44 各 种 门禁 系统 
(2) 指纹 手机 : 如 图 2-46 所 示 指 纹 手机 的 机 身 前 面 及 后 面 都 装 有 一 个 跟 SIM 卡 大 小 
相仿 的 金属 片 指 纹 感应 器 ,机 主 可 预先 输入 指纹 样本 。 手 机 可 和 赁 指纹 认证 ,进行 上 网 购物 、 
收发 电子 邮件 、 完 成 银行 转账 等 功能 。 


图 2-45 指纹 鼠标 图 2-46 指纹 手机 


(3) 指纹 U 盘 : 采用 指纹 作为 加 密 密 钥 ,通过 与 预先 保存 的 指纹 进行 比较 来 确认 用 户 
的 身份 。 第 一 次 使 用 时 ,打开 指纹 登记 开关 (如 图 2-47(a) 所 示 ) ,然后 插入 USB 接口 ,等 指 
纹 指示 灯亮 起 后 ,将 手指 按 到 感应 器 上 即 可 进行 指纹 登记 ,如 图 2-47(b) 所 示 。 


打开 指纹 登记 开关 
(a) 打开 指纹 登记 开关 (b) 指纹 登记 
图 2-47 指纹 U 盘 

(4) 指纹 识别 汽车 : 采用 指纹 识别 技术 的 汽车 不 仅 门 锁 装置 不 再 需要 钥匙 ,同时 还 具 
有 根据 指纹 及 预 储 的 信息 ,自动 调整 汽车 驾驶 员 的 座 椅 高 度 .前 后 距离 ,各 个 反光 镜 位 置 及 
自动 接 通车 载 电话 等 功能 。 

4. 虹膜 识别 系统 

分 析 眼 睛 独特 特征 的 生物 识别 技术 主要 包括 虹膜 识别 技术 .视网膜 识别 技术 和 角膜 识 
别 技术 。 

虹膜 是 环绕 着 瞳孔 的 一 层 有 色 的 细胞 组 织 。 每 一 个 虹膜 都 包含 一 个 独一无二 的 基于 像 


42 信息 对 抗 与 网 络 安全 (第 2 版 ) 


冠 .水 晶体 、 细 丝 、 斑 点 、 结 构 、 止 点、 射线 ,皱纹 和 条 纹 等 特征 的 结构 。 虹 膜 扫 描 安 全 系统 包 
括 一 个 全 自动 照相 机 来 寻找 眼睛 ,并 在 发 现 虹膜 时 开始 聚焦 ,捕捉 到 虹膜 样本 后 ,由 软件 对 
所 得 到 的 数据 与 储存 的 模板 进行 比较 。 
em 如 图 2-48 所 示 的 自动 提 款 机 利用 了 先进 的 虹膜 生物 识 
ee | 别 技术 。 只 要 进入 工作 间 , 把 双 脚 放 到 带 有 压力 传感器 的 脚 
踏板 上 ,让 系统 仔细 观察 自己 的 眼睛 。 一 旦 系统 发 现 虹膜 与 
所 存储 的 虹膜 相符 ,系统 就 开始 工作 。 
视网膜 是 眼睛 底部 的 血液 细胞 层 。 视 网 膜 扫 描 是 采用 低 
密度 的 红外 线 去 捕捉 视网膜 的 独特 特征 ,血液 细胞 的 唯一 模 
式 就 因此 被 捕捉 下 来 。 有 人 认为 视网膜 是 比 虹 膜 更 为 唯一 的 
生物 特征 。 
视网膜 识别 的 优点 在 于 它 是 一 种 极其 固定 的 生物 特征 ， 
M248 基于 曙 大 识别 技术 的 因为 它 是 "隐藏 "的 ,所 以 不 可 能 受到 磨损 ` 老 化 等 影响 使 用 
自动 提 款 机 者 也 无 需 和 设备 进行 直接 的 接触 ; 同时 它 是 一 个 最 难 欺骗 的 
系统 ,因为 视网膜 是 不 可 见 的 ,故而 不 会 被 伪造 。 另 一 方面 ， 
视网膜 识别 也 有 一 些 不 完善 的 地 方 , 例 如 ,视网膜 技术 可 能 会 给 使 用 者 带 来 健康 的 损坏 ,这 
需要 进一步 的 研究 ; 设备 投入 较为 昂贵 ,识别 过 程 要 求 也 高 。 
5. 手 形 识 别 系 统 
手 形 识别 技术 是 最 早 引 入 商业 应 用 的 生物 识别 技术 。 几 乎 每 个 人 的 手 的 形状 都 是 不 同 
的 ,而 且 手 的 形状 在 人 达到 一 定年 龄 之 后 就 不 再 发 生 显著 变化 。 当 用 户 把 他 的 手 放 在 手 形 
读 取 器 上 时 ,一 个 手 的 三 维 图 像 就 被 捕捉 下 来 ,接着 就 对 手指 和 指 关 节 的 形状 与 长 度 进行 测 
量 , 如 图 2-49 所 示 。 
手 形 识别 系统 采用 三 种 技术 ,第 一 种 是 扫描 整 
个 手 的 手 形 的 技术 ,第 二 种 是 仅 扫描 单个 手指 的 技 
术 , 第 三 种 是 结合 前 两 种 技术 的 扫描 食指 和 中 指 两 
个 手指 的 技术 。 通 常 我 们 称 扫 描 整 个 手 形 的 手 形 
仪 为 掌 形 仪 , 扫 描 两 个 手指 的 手 形 仪 为 指 形 机 。 
1996 年 奥运 会 上 , 手 形 仪 在 奥运 村 使 用 ,接受 了 (a) 读 取 数 据 (b) 测量 数据 
65 000 多 人 注册 ,处 理 了 一 百 多 万 次 进出 记录 。 
6. 面部 识别 系统 
面部 识别 系统 把 要 找 的 人 的 面貌 先 扫 描 并 储存 在 计算 机 里 ,然后 通过 计算 机 的 “ 眼 
睛 ”一 一 摄像 机 ,在 流动 的 人 群 中 自动 寻找 并 分 析 影 像 , 从 而 辨认 出 那些 已 经 储存 在 计算 机 
中 的 人 。 
面部 识别 系统 是 通过 分 析 面 部 特征 的 唯一 形状 、 模 式 和 位 置 来 辨识 人 的 ,其 采集 处 理 的 
方法 主要 有 标准 视频 和 热 成 像 技术 。 标 准 视频 技术 通过 一 个 标准 的 摄像 头 摄取 面部 的 图 
像 ,记录 一 些 核 心 点 ,如 眼睛 、 鼻 子 和 嘴 的 位 置 , 然 后 形成 模板 ; 热 成 像 技 术 通 过 分 析 由 面部 
的 毛细 血管 血液 产生 的 热线 来 产生 面部 图 像 ,与 视频 摄像 头 不 同 , 热 成 像 技术 并 不 需要 在 较 
好 的 光源 条 件 下 ,即使 在 黑暗 情况 下 也 可 以 使 用 。 
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2008 年 ,在 北京 奥运 会 及 残 奥 会 开 闭 幕 式 ,使 用 了 人 脸 识别 技术 进行 实名 制 门票 查验 ， 
约 360 000 人 次 经 过 了 人 脸 识别 系统 的 验证 后 进入 开 闭 幕 式 现场 ,这 是 人 脸 识别 技术 的 一 
次 成 功 应 用 。 

7. 语音 识别 系统 

语音 识别 主要 包括 两 个 方面 : 语言 和 声音 。 语 言 识别 是 对 说 话 的 内 容 进行 识别 ,主要 
用 于 信息 输入 .数据 库 检 索 、 远 程控 制 等 方面 ; 在 身份 识别 方面 更 多 地 采用 声音 识别 。 

音 识别 与 语言 识别 的 不 同 之 处 在 于 : 它 不 对 说 出 的 

词语 本 身 进行 辨识 ,而 是 通过 分 析 语 音 的 唯一 特性 ,例如 发 
音 的 频率 ,来 识别 说 话 的 人 。 声 音 识 别 技 术 使 人 们 可 以 通 
过 说 话 的 嗓音 来 控制 能 否 出 入 限制 性 的 区 域 ,例如 通过 电 
话 拨 入 银行 .数据库 服务 、 购 物 或 语音 邮件 ,以 及 进入 保密 
的 装置 等 。 如 图 2-50 所 示 的 USB 声 纹 加 密 锁 在 插入 计算 
机 USB 接口 后 ,只 需 用 户口 述 命令 ,就 能 马上 验 明 用 户 身 a 
份 , 让 合法 用 户 顺利 进入 而 拒绝 非法 用 户 的 使 用 ,从 而 免 去 ”图 2-50 USB 声 纹 加 密 锁 
了 用 户 记忆 一 大 串 密 码 的 烦恼 。 


2.4 文件 加 密 与 破解 


计算 机 上 存放 的 重要 信息 需要 保密 ,为 保护 这 些 文件 ,一 般 情况 下 可 以 为 计算 机 设置 密 
码 ,但 这 并 不 能 完全 保证 信息 的 安全 ,因为 攻击 者 可 以 通过 网 络 窃取 资料 ,甚至 可 以 偷 走 硬 
盘 来 获取 其 中 的 数据 。 一 种 更 安全 的 方法 是 对 文件 进行 加 密 ,需要 时 再 对 其 解密 。 这 样 , 即 
使 攻击 者 偷 走 了 文件 ,也 无 法 获取 有 用 信息 。 

随 着 密码 应 用 范围 的 增加 ,遗忘 密码 的 情况 也 屡见不鲜 ! 如 何 破解 这 些 密码 , 尽 可 能 减 
少 损失 ,也 是 我 们 所 关注 的 。 

密码 的 破解 通常 是 利用 软件 快速 尝试 大 量 密 码 来 实现 的 ,具体 的 方法 有 字典 法 和 暴力 
破解 法 两 种 。 字 典 法 利用 一 些 经 常 被 用 户 当 作 密 码 的 词 逐一 尝试 ,暴力 破解 法 就 是 穷 举 破 
解 ,将 所 有 可 能 的 密码 逐一 尝试 。 破 解密 码 时 ,密码 字典 是 首选 方法 ,如 果实 在 不 行 才 使 用 
暴力 破解 法 。 

密码 字典 是 一 个 简单 的 文本 文件 ,其 中 列 出 了 各 种 各 样 的 用 户 名 和 密码 ,这些 用 户 名 和 
密码 是 黑客 高 手 长 期 经 验 的 积累 ,是 揣摩 各 种 人 设置 账号 和 密码 的 心理 和 习惯 后 编制 出 来 
的 ,破解 程序 读 取 这 些 密码 并 逐一 用 于 密码 破解 ,一 个 好 的 密码 字典 可 以 轻松 攻破 精心 设置 
的 密码 。 通 常 具 有 遇 到 安全 意识 非常 强 的 用 户 设置 的 密码 时 , 才 需 要 使 用 暴力 破解 ,一 般 使 
用 字典 破解 就 可 以 解决 大 多 数 问题 。 

针对 不 同 加 密 方法 的 文件 有 不 同 的 解密 手段 ,如 专门 破解 Office 文件 密码 的 工具 等 。 
密码 破解 要 经 历 尝 试 . 失 败 . 再 尝试 反 反复 复 的 过 程 。 


2.4.1 压缩 文件 的 加 密 与 破解 
一 般 情况 下 ,为 节省 空间 ,在 备份 文件 时 ,通常 会 将 文件 压缩 成 ZIP, RAR 等 格式 保存 。 
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为 了 防止 非法 用 户 窃取 该 文件 ,有 时 需要 对 重要 文件 的 压缩 备份 进行 加 密 保护 。 
1. RAR 文件 的 加 密 


RAR 是 使 用 最 为 普遍 的 压缩 文件 格式 ,WinRAR 压缩 软件 可 以 在 将 文件 压缩 的 同时 ， 
为 压缩 包 加 上 密码 ,这 样 就 可 以 达到 压缩 与 保密 一 举 两 得 的 作用 。 


【 例 2-3】 用 WinRAR 压缩 文件 并 加 密 。 


(1) 右 击 要 压缩 的 文件 ,在 弹出 的 快捷 菜单 中 选择 “添加 到 压缩 文件 ”选项 ,出 现 如 图 2-51 
所 示 的 “压缩 文件 名 和 参数 ”对 话 框 。 


= 压 移 文件 名 和 和 参数 
[Ra aa [选项 | 文件 lan [ma 


BERS W 


les | 


更 新 方式 由 
(Swar 


压缩 文件 格式 压缩 选项 


ORG) DEREREREXH U) 
Omg) DARERERREBXH W 
: Oomarkextt O) 
ERIK O 口 添 加 用 户 身份 校 验 信息 D 
标准 B 。 口 添加 焦 复 记录 ) 
Reser sew | 口 测试 压 编 文件 O 
口 锁定 压缩 文件 w 


图 2-51 “压缩 文件 名 和 参数 "对 话 框 
(2) 单 击 “高 级 ”选项 卡 ,出 现 如 图 2-52 所 示 的 对 话 框 。 


(3) 单 击 "设置 密码 "按钮, 出现 如 图 2-53 所 示 的 密码 对 话 框 ,在 其 中 输入 密码 , 单 击 
“确定 "按钮 ,返回 到 图 2-52。 
E 压 第 文件 名 和 参数 


(an AR len [文件 | 备份 | 时 间 
NTFS 选项 


注释 
恢复 记录 BR) 


保存 文件 安全 数据 GE) 
保存 六 件 流 数据 T) 


BEEBO). 


输入 密码 E) 
| 


再 这 输入 得 码 凡 确 人 四 


系统 
回 后 台 压 缩 色 ) 

完成 操作 后 关闭 计算 机 电源 E) 

口 如 果 其 地 winna SAAS Ww 


j) 


图 2-52 “高 级 ”选项 卡 


图 2-53 ”密码 输入 
(4) 单 击 图 2-52 中 的 “确定 ”按钮 ,完成 带 密码 的 文件 压缩 。 
2. RAR 加 密 文件 的 破解 


破解 工具 ARPR(Advanced RAR Password Recovery) 用 于 破解 RAR 文件 的 密码 


ing 
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使 用 穷 举 攻击 的 方法 , 即 穷 举 所 有 可 能 的 字符 组 合 ,来 猜测 密码 的 攻击 方式 进行 破解 ; 也 采 
用 字典 攻击 的 方法 ,即使 用 常用 的 单词 ,来 猜测 密码 的 攻击 方式 实现 破解 。 

【 例 2-4] 用 ARPR 破解 RAR 文件 密码 。 

(1) 运行 ARPR 破解 工具 ,出 现 如 图 2-54 所 示 的 程序 界面 。 


Advanced RAR Password Recovery: 

& hw # MO oO @ EF 

打开 保存 开始 1 基准 帮助 关于 退出 
已 加 密 的 RAR 文件 : 破解 类 型 
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SREB. | 9 

口 wB KA 
m) Te 用 户 自 定义 回 器 
-状态 窗口 
2009-8-2 13:41:30 - ARPR version 1.53 build 12 已 局 动 A 


l 


sm, ER 


o% 
IARPR version 1.53 (c) 2000-2005 ElcomSoft Co.Ltd. 


2-54 ARPR 程序 界面 


(2) 单 击 左 上 角 “ 已 加 密 的 RAR 文件 文本 框 右 侧 的 打开 按钮 ,在 弹出 的 打开 文件 对 话 
框 中 选择 要 破解 的 RAR 文件 。 

(3) 单 击 右上 角 的 “破解 类 型 "下 拉 列 表 框 ,选择 “字典 破解 ”攻击 模式 。 

(4) 单 击 中 间 的 “字典 ”选项 卡 ,在 图 2-55 中 选择 字典 文件 ,在 “开始 行 # ”中 选择 从 0 行 
开始 。 


Advanced RAR Password Recoyery 

& Ns Ao OO 
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口 兰 试 所 有 可 能 的 大 小 写 组 合 

(Css renee 

-ASEO 

[2009-8-2 13:41:30 - ARPR version 1.53 build 12 已 局 动 A 
SSB: ETTA E 
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IARPR version 1.53 (c) 2000-2005 ElconSoft Co.Ltd. 


2-55 ”使 用 字典 攻击 模式 
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O) 单 击 工具 栏 中 的 “开始 1” 按 钮 开始 破解 。 破 解 完 毕 后 ,出 现 如 图 2-56 所 示 的 对 话 
框 ,提示 破解 的 结果 。 


室 码 已 成 功 恢复 ! 


图 2-56 破解 结果 


3. RAR 文件 的 防 破解 

现在 ,针对 WinRAR 密码 的 破解 软件 层出不穷 ,不 管 密码 设置 得 再 长 .再 复杂 ,也 难免 
成 为 某 些 暴 力 破 解 软 件 的 猎物 ,可 以 通过 下 面 的 方法 防止 RAR 密码 被 轻松 破解 。 

【 例 2-5] 采用 中 文 密码 防止 破解 。 

(1) 压缩 文件 ,出现 如 图 2-53 所 示 的 对 话 框 。 

(2) 由 于 在 文本 框 中 无 法 直接 输入 中 文 , 可 以 打开 任何 文本 处 理 软件 ,输入 中 文 密码 并 
复制 ,然后 粘贴 到 “输入 密码 ”文本 框 中 ,完成 中 文 密码 对 RAR 文件 的 保护 。 

(3) 要 解压 或 查看 使 用 中 文 密码 加 密 的 文件 ,同样 双击 该 压缩 文件 ,从 其 他 文本 输入 窗 
口中 输入 中 文 密码 ,然后 将 其 拷贝 到 * 输 入 密码 "文本 框 中 , 即 可 正常 使 用 。 

(4) 由 于 在 操作 时 使 用 明文 方式 输入 密码 ,所 以 不 适宜 在 公众 场合 现场 使 用 ,否则 中 文 
密码 极 易 被 人 窃取 。 

【 例 2-6】 采用 对 多 个 文件 设置 不 同 密码 防止 破解 。 
(1) 将 某 个 文件 按照 正常 步骤 压缩 ,并 设置 密码 。 
(2) 在 WinRAR 操作 界面 中 ,打开 刚才 已 经 压缩 


Ù test.rar - WinRAR (Ff... MOR 


帮助 如 添加 文件 到 压缩 文件 中 O) Aleta 


得 完成 的 加 密 文 件 ,执行 “命令 ”| * 添 加 文件 到 压缩 文件 
URE 
eu 了 中 ”命令 ,如 图 2-57 所 示 。 
3 Seen d (3) 接着 在 “请 选择 要 添加 文件 ”对 话 框 中 选择 其 
comm © : 他 文件 , 单 击 “ 确 定 ”按钮 ,返回 到 “压缩 文件 名 和 参数 ” 
FMAM ES 0) i n M 
添加 压缩 文件 注释 W 对 话 框 。 在 “高 级 "选项 卡 中 设置 一 个 不 同 的 密码 ,完成 
保护 压缩 文件 防止 损坏 E) 入 ttP 
| eRe ttL 压缩 


(4) 重复 上 述 步 又 ,将 多 个 文件 压缩 ,每 个 文件 使 
图 2-57 添加 其 他 文件 到 压缩 文件 中 用 不 同 的 密码 .这样 就 不 会 被 轻易 地 破解 了 。 


2.4.2 Office 文件 的 加 密 与 破解 

在 处 理 Microsoft 公司 的 Office 系列 文档 时 ,由 于 公司 或 个 人 隐私 的 需要 ,经 常 要 对 
Office 文档 进行 加 密 保 护 ,保护 的 方法 可 以 通过 Office 软件 包 自 带 的 安全 保护 功能 进行 。 

1. Office 文件 的 加 密 

下 面 以 Word 2003 为 例 说 明 Office 文件 的 加 密 过 程 ,其 他 Office 文件 的 加 密 方 法 


第 2 章 密码 技术 47 


类 似 。 

【 例 2-7】 加 密 Word 文件 。 

(1) 打开 Word 文件 ,执行 "文件 "| “另存 为 ”命令 ,在 “另存 为 ”对 话 框 中 单 击 右上 和 角 的 
“工具 ”按钮 ,在 如 图 2-58 所 示 的 弹出 菜单 中 选择 “安全 措施 选项 ”命令 ,出 现 “ 安 全 性 ”对 话 
框 ,如 图 2-59 所 示 。 
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2-58 “安全 措施 选项 "命令 


安全 性 | 

此 文档 的 文件 加 密 选 项 
打开 文件 时 的 密码 0) 

此 文档 的 文件 共享 选项 
修改 文件 时 的 密码 Ww 

口 建议 以 只 读 方式 打开 文档 Y 


a 


agon è z 


选项 

保存 时 从 文件 属性 中 删除 个 人 信息 Q 

打印 、 保 存 或 发 送 包 合 修订 或 批注 的 廊 件 之 前 给 出 警 省 W) 
存储 用 于 增强 合并 精确 性 的 随机 编号 江 ) 
打开 或 保存 时 标记 可 见 V) 


定安 全 性 


i ala 
Caz) WE ) 
图 2-59 “安全 性 "对话 框 

(2) 也 可 以 执行 “工具 ”|“ 选 项 ”命令 ,在 “选项 ”对 话 框 中 单 击 “ 安 全 性 ”选项 卡 ,如 图 2-60 
所 示 。 

(3) 分 别 设置 “打开 文件 时 的 密码 ”和 “修改 文件 时 的 密码 ”, 建 议 不 要 将 这 两 个 密码 设 
为 同一 个 内 容 。 

2. Office 加 密 文件 的 破解 

Office 文件 破解 工具 非常 多 ,基本 分 为 两 大 类 。 一 类 是 类 似 RAR 文件 的 破解 工具 ,将 
密码 破解 ; 另 一 类 是 将 Office 文件 密码 移 除 , 新 建 一 个 没有 密码 且 与 原文 件 内 容 相 同 的 文 
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_ 拼 写 和 语法 | 修订 | APRE | 兼容 性 | 中 文 版 式 | 文件 位 置 
视图 | a EE 打印 ae | 安全 性 


此 文档 的 文件 加 密 选项 
打开 文件 时 的 密码 W: | 

此 文档 的 文件 共享 选项 
修改 文件 时 的 密码 中) ] 


| mao 


加 建议 以 只 读 方 式 打开 文档 到) 


BFESO... 保护 文档 到 )..- 


隐私 选项 

保存 时 从 文件 属性 中 删除 个 人 信息 V 
打印 、 保 存 或 发 送 包 合 修订 或 批注 的 文件 之 前 给 出 警 肖 Ww 
存储 用 于 增强 合并 精确 性 的 随机 编号 ) 
打开 或 保存 时 标记 可 见 W 

定安 全 性 


er EEE. 
Cae) EL 


图 2-60 “安全 性 "选项 卡 
件 。 它们 的 典型 代表 分 别 是 Advanced Office Password Recovery 和 Office Password 


Recovery Toolbox。 


(Gi 2-8] 使 用 Advanced Office Password Recovery 破解 Office 文件 密码 。 
(1) 运行 Advanced Office Password Recovery, 界 面 如 图 2-61 所 示 。 


a. © $3 &® å A À 
FFU... M5 通行 证 © M5 Outlook Internet CA VBA JE] 
[RE 【暴力 | FA ik | 基准 | 系统 信息 | 密码 疆 存 | 


针对 强加 密 文 档 的 破解 类 型 

ORKER C 尝试 所 有 可 能 的 组 合 ) 

日 挤 码 式 暴力 破解 ( 若 已 获知 部 分 密码 符号 ) 
OFRER OER) 


| 
| 文件 名 称 : 
| 
| 


日 志 窗 口 
| BA, mia | 事件 = 
4) 2009-8-7 21:03:32 AOPR 4.03 Professional Edition 已 加 载 
Q) 2009-8-7 21:03:32 此 拘 作 系统 版 本 : Windows NT/2000/xP 版 本 号 5.1 创建 号 2600 Service Pack 2 


ai 当前 速度 : 
进度 指示 器 0% 


供 家 庭 及 商业 用 尸 的 授权 ( 单机) 
(Advanced Office Password Recovery Professional Edition, 版 本 4.03. Copyright 71999-2008 ElconSoft Co. Lti 


2-61 Advanced Office Password Recovery 程序 界面 


(2) 打开 要 破解 的 Office 文件 ,出 现 如 图 2-62 所 示 的 “预备 破解 ”对 话 框 。 
(3) 破解 成 功 后 出 现 如 图 2-63 所 示 的 对 话 框 。 

【 例 2-9] 使 用 Office Password Recovery Toolbox 移 除 Office 文件 密码 。 
(1) 运行 Office Password Recovery Toolbox, 界 面 如 图 2-64 所 示 。 
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Word ZBLBER 回回 
Word 净 件 打开 密码 : 123 何 
Word 写 保护 密码 : < 无 > [ra 
Word 文档 保护 密码 : < 无 > a 
Word VBA 密码 > < 无 > a 
C:\Documents and Settings|shiep|My Documents\test.doc È HR.. 
选 定 文件 的 所 有 客 码 均 已 成 功 恢复 或 被 更 改 ? 


AOPR 正在 尝试 饭 复 某 暂 时 无 法 被 找到 的 密码 MAR, 这 
将 持续 若 二 分钟 


图 2-62 “预备 破解 "对 话 框 图 2-63 ”破解 成 功 


i Office Password Recovery Toolbox [| [| 


图 2-64 Office Password Recovery Toolbox 界面 


(2) 打开 要 移 除 密码 的 Office 文件 ,如 test. doc 文件 ,软件 判断 文件 的 密码 类 型 ,出现 


如 图 2-65 所 示 的 窗口 。 


(Office Password Recovery Toolbox alal] 
文件 帮助 
RAS 

| W] C:\Documents and Settings\shi ep\My Docunents\ |] B 


Word 文档 密码 
“Ea 
“BA” ER: | 
“ap” em: — 
va TEER: e 


就 绪 


图 2-65 判断 密码 类 型 


G) 单 击 “ 移 除 密码 ”按钮 ,出 现 如 图 2-66 所 示 的 “信息 ”对 话 框 。 

(4) 连接 到 Internet, 单 击 “ 确 定 ” 按 钮 ,完成 密码 移 除 ,如 图 2-67 所 示 ,在原 文件 所 在 目 
录 产 生 移 除 密码 后 的 test _Fixed. doc 文件 ,内 容 与 原文 件 test. doc 完全 相同 。 

3. Office 文件 的 保护 

即使 对 Office 文件 进行 了 加 密 , 但 是 也 不 能 保证 其 肯定 安全 。 因 为 加 了 密码 ,别人 可 
以 借助 专业 的 破解 工具 来 破解 ,而 换 一 个 思维 进行 加 密 有 可 能 会 起 到 意 想不到 的 效果 。 
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BLSRTRED » BEI Riner Software R Office Password Recovery Toolbox [R] 


。 如 果 您 有 防火 墙 ， 请 
Internets 


(89) CCS RTE 


图 2-66 “信息 ”对 话 框 图 2-67 成 功 移 除 密码 


【 例 2-10】 使 用 Word Redaction 对 Word 2003 版 文件 中 的 重要 信息 打 “ 马 赛 克 ”。 
(1) 安装 Microsoft 公司 的 官方 插件 Word Redaction ,如 果 计 算 机 中 没有 安装 过 . NET 
Framework ,自动 跳出 如 图 2-68 所 示 的 对 话 框 。 


{@ Microsoft Office Ford 2003 Redaction Add-in 


This setup requires the NET Framework version 1.1.4322. Please instal the NET 
oe te Te NE T nt 
oe ee te 


2-68 ”安装 . NET Framework 提示 


(2) 安装 成 功 后 ,在 Word 中 增加 了 如 图 2-69 所 示 的 Redaction 工具 栏 。 


2f Mark ERenove Wark | =] Show Marks =] Hide Marks | =IjRedact Document | zws 


2-69 Redaction LA 


(3) 选中 需要 加 密 的 文字 , 单 击 Redaction 工具 栏 中 的 Mark 按钮 ,被 标记 的 部 分 会 显 
示 为 灰色 底 纹 。 

(4) 标记 完成 之 后 , 单 击 Redact Document 按钮 ,自动 生成 一 个 新 文档 , 即 加 密 后 的 
Word 文档 。 

(5) 当 阅 读者 收 到 这 份 Word 文档 并 打开 后 ,加 密 部 分 已 被 纯 黑色 覆盖 ,根本 无 法 辨 
识 ,如 图 2-70 所 示 。 

【 例 2-11】 防止 文档 属性 暴露 信息 。 

(1) 执行 “文件 ”1“ 属 性 ”命令 ,在 “属性 ”对 话 框 的 “摘要 ”标签 中 会 显示 个 人 信息 ,如 
图 2-71 Bras. 

(2) 右 击 “资源 管理 器 ?中 的 文件 ,执行 “属性 ?命令 ,也 会 出 现 类 似 的 个 人 信息 。 

(3) 执行 “工具 ”| * 选 项 ”命令 ,在 “安全 性 ?标签 中 ， 选中 隐私 选项 ”下 的 “保存 时 从 文件 
属性 中 删除 个 人 信息 " 复 选 框 ,如 图 2-72 所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 ,保存 文件 .个 人 信息 被 删除 。 


2.4.3 ”其 他 文件 的 加 密 与 破解 
对 于 RAR、Office、PDF 等 常见 文件 ,虽然 都 有 相应 的 加 密 方 法 ,但 也 有 针对 性 的 破解 
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Eh 1 
PRO) me) MAW HAD BEO IAD REW BOW 帮助 只 
BBW>A" METE a Oe wee eee Al 


icrosoft Word 


- [E6 210] 使 用 Yord Redaction 对 Vord 文件 中 的 重要 信息 打 “ 马 赛 克 ”+ 
2 (1) 安装 微软 的 官方 插件 Word Redaction， 如 果 计算 机 中 没有 安装 过 NET Framework, 
: 自动 跳出 如 图 2-66 所 示 的 对 话 框 。 。 


è (3) 选中 需要 加 密 的 文字 ， 单 击 “Redaction” 工 具 栏 中 的 “Mark” 按 钮 ， 被 标记 的 部 
分 会 显示 为 灰色 底 纹 。*+ 


(5) 当 赔 读者 收 到 这 份 Word 文档 并 打开 后 ， 加 密 部 分 已 被 纯 黑色 覆盖 ， 根 本 无 法 辨 


“Ong 


1 页 1 节 ”1/1 位 置 .5 厘米 1 行 1 列 中 文 (中 国 ) oF 


图 2-70 ”加密 后 的 文档 


第 2 章 BWA. doc 属性 
an [ME (mt [as 
TEO E 
ae 此 文档 的 文件 加 密 选 项 
TEU: «ES 打开 女 件 时 的 密码 O [ER&w | 
asw P ， 
[文档 的 文件 共享 和 项 
o 修改 文件 时 的 密码 
230: 建议 以 读 方式 打开 文档 加 ) 
关键 词 &) 数字 签名 四) 
备注 加 | 隐私 选项 
RRC ERT ATE W) 
回 打印 、 保 让 或 发 送 包含 修 计 或 批注 的 六 件 之 前 给 出 要 半 W 


ae 加] FBT BES HEALS (L) 
模板 ; Normal. dot 回 打开 或 保存 时 标记 可 见 O 


安安 全 性 
Baas i 


拼写 和 语法 修订 | 用 户 信息 Ree | 中 文 版 式 | 文件 位 置 
视图 第 规 编辑 打印 保存 | 安全 性 


OR FREE W 


GE 


图 2-71 个 人 信息 图 2-72 删除 个 人 信息 


工具 ,安全 性 都 不 太 高 。 可 以 采用 一 些 通用 的 加 密 方法 ,以 提高 安全 性 。 

1. PDF 文件 的 加 密 与 破解 

Adobe 公司 的 PDF 文件 是 一 种 通用 文件 格式 ,为 防止 机 密 文件 被 编辑 、 打 印 或 选择 文 
本 图形 的 复制 ,可 以 使 用 Adobe Acrobat 或 EncryptPDF 软件 对 PDF 文件 进行 加 密 , 以 提 
高 文档 的 安全 性 。 
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【 例 2-12】 使 用 Adobe Acrobat 对 PDF 文件 加 密 。 

(1) 运行 Adobe Acrobat 软件 ,打开 PDF 文件 。 

(2) 执行 “文件 ”1“ 文 档 属 性 ”命令 ,出 现 如 图 2-73 所 示 的 “文档 属性 ”对 话 框 ,选择 其 中 
的 “安全 性 ”选项 。 


文档 安全 性 
雯 档 的 "安全 性 廊 法 用 于 限制 对 文档 所 执行 的 灌 作 。 要 删除 安全 性 限制 ,请 设置 "安全 
福 方法 "为 法 安全 性 设置 

安全 性 方法 () :| 无 安全 性 设置 a 
可 用 来 打开 的 程序 :所 有 版 本 的 Acrobak 


文档 限制 小 结 
打印 : 允许 
更 改 文档 : fir 
文档 姐 合 : 允许 
内 容 复制 或 提取 : ”允许 
提 职 内 容 用 于 辅助 工具 : fif 
注释 :允许 
填写 表单 域 : 允许 
BS: sit 
ARR: fi 


图 2-73 “文档 属性 "对话 框 


(3) 单 击 “ 安 全 性 方法 ”的 下 拉 按 钮 ,选择 “口令 安全 性 ”, 出 现 如 图 2-74 所 示 的 “口令 安 
全 性 一 设置 ”对话 框 。 


ETEM: 
MERR: C 128-bt RCH 
口 要 求 打开 文档 的 口令 (B) 
ses: | 
,六 当 设 置 时 ,要求 本 口令 方 可 打开 文档 . 
许可 
口 使 用 口令 来 限制 文档 的 打印 和 编辑 以 及 它 的 安全 性 设置 (U) 


许可 口令 ) : 


图 2-74 “口令 安全 性 一 设置 ?对话 框 
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(A) 选择 “要 求 打开 文档 的 口令 ” 复 选 框 ,在 “文档 打开 口令 "文本 框 中 输入 密码 , 单 击 
“确定 ”按钮 ,出 现 如 图 2-75 所 示 的 “确认 文档 打开 口令 ”对 话 框 。 


Adobe Acrobat 一 确认 文档 打开 口令 


图 2-75 “确认 文档 打开 口令 "对 话 框 


(5) 再 次 输入 密码 , 单 击 “ 确 定 ” 按 钮 ,完成 PDF 文件 的 加 密 。 

PDF 文件 的 破解 软件 与 Office 文件 的 破解 软件 大 同 小 异 ,其 典型 代表 为 Advanced 
PDF Password Recovery 和 PDF Password Remover, 它 们 的 界面 分 别 如 图 2-76 和 图 2-77 
所 示 。 


文件 于) MEG) HHW 


S.A A 
打开 开始! 
已 加 密 的 PDF 文件 


| 范围 | 长 度 | 字典 See | 自动 保存 选项 高 级 
| SETS AT 

AAS FS A-Z) 

所 有 小 写字 母 [a- 引 

所 有 数字 上- 引 

AES (1@...) 

Si 


FHER : 
剩余 时 间 : 


|APDFPR version 4.00 (c) 2001-2007 ElcomSoft Co.Ltd. 


2-76 Advanced PDF Password Recovery 


2, 通用 文件 加 密 系 统 

对 于 各 种 类 型 的 文件 ,还 可 以 采用 通用 文件 加 密 系 统 进行 加 密 。 通 用 文件 加 密 系统 并 
不 是 专门 针对 某 种 特定 类 型 的 文件 , 它 适 用 于 各 种 类 型 的 文件 ,是 最 常用 的 文件 加 密 方式 。 
常见 的 通用 文件 加 密 软 件 有 Easycode Boy Plus!、BlackBox、 加 密 精 灵 等 。 一 般 来 说 ,它们 
有 以 下 几 个 共同 特点 : 

。 采用 快速 的 分 组 对 称 算法 。 

。 在 密 文 文件 中 插入 校 验 码 以 保证 文件 内 容 不 被 算 改 。 

。 使 用 某 个 工具 加 密 的 文件 一 般 只 能 用 该 工具 解密 。 

。 除了 加 密 和 解密 外 还 提供 一 些 其 他 的 附带 功能 ,如 文件 插入 、 分 割 等 。 
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A` PDF Password Remover v2.2 DER 


结果 事件 来 源 文档 目标 文档 [ 


b E © 


打开 PDF 文件 帮助 关闭 


2-77 PDF Password Remover 


【 例 2-13] 使 用 通用 加 密 软 件 Easycode 加 密 .解密 任意 文件 。 
(1) 运行 Easycode 软件 ,在 程序 界面 中 单 击 “添加 文件 ?按钮 ,选择 要 加 密 的 文件 ,如 
test. txts 在 底部 的 密码 文本 框 中 输入 密码 ,如 图 2-78 所 示 。 


@-: 6 
= KERPREMATE 


D: \teacher\HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch2\test. txt 


请 输入 密码 : free 请 确认 密码 : p 
提示 : 请 注意 密码 区 分 大 小 写 而 且 空 格 也 可 成 为 密码 的 一 部 分 4 FEMS 
口 启用 快速 加 密 口 加 密 文件 名 口 加 密 前 先 备份 |R 产生 随机 密码 


图 2-78 加密 文件 


(2) 单 击 “ 开 始 加 密 ” 按 钮 ,出 现 加 密 成 功 对 话 框 ,如 图 2-79 所 示 。 
(3) 双击 test. txt 文件 ,出 现 乱码 ,如 图 2-80 所 示 , 说 明 加 密 成 功 。 


文件 操作 成 功 完成 ? P test-tzt 
本 次 操作 文件 数 : 1 E bes 
本 次 操作 所 耗 时 : 0:00:00:15 t? 模 mo 铜 H8* 示 6 
本 次 操作 的 密码 : test Ton ERRETAN 


PEREC 全 
(请 牢记 密码 ， 密 码 伺 忘 无 法 恢复 ” ) Lis 5 


Bares - mney TE ae 
= 闭 
口 以 不 再 提示 EEN me lee i 


图 2-79 加密 成 功 对 话 框 图 2-80 ”加密 后 的 文件 
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(4) 单 击 “解密 ?选项 卡 ,在 如 图 2-81 所 示 的 对 话 框 中 添加 被 加 密 的 文件 ,输入 密码 , 单 
击 “ 开 始 解密 ”按钮 。 


有 5 B 
一 一 安全 保护 最 佳 解决 方案 
设置 


D: \teacher\HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch2\test. txt 添加 文件 


请 输入 密码 : [ever Qresss? | | 历史 记录 >》 ral 


BeBe hanemereee Sees 


图 2-81 解密 文件 


(5) 解密 成 功 后 ,打开 test. txt 文件 ,能 够 正常 查看 该 文件 内 容 。 
【 例 2-14) 使 用 通用 加 密 软件 Easycode 生成 自 解密 文件 。 
(1) 运行 Easycode 软件 , 单 击 "编译 EXE” 选 项 卡 , 单 击 “ 浏 览 ” 按 钮 ,选择 要 编译 的 文件 


test, txt, 


在 密码 框 中 输入 密码 ,如 图 2-82 所 示 o 


@-: 田 
= ~ = REAP RAMETR 
7 = e SEPA REF 设置 | 关于 


RRR PEESO 


{D: \teacher \HEINVE, RPP ch2\test. txt om 浏览 
编译 后 文件 名 ; 

[DMteacher \HEIN\ 信 息 对 抗 与 网 络 安 全 \ 软 伞 \ch2\test. exe XX 去除 保护 
口 编 泽 文 件 后 将 EX 文件 分 割 为 : |1. 4 a 大 小 的 多 个 文件 

请 输入 密码 : [ree ail: feel) A Renee | 


密码 提示 : PUR 


Kl> 


自 解密 文件 支持 命令 行 拘 作 方 式 ， 方 法 详 见 说 明 

RA: 大 的 文件 在 加 保护 后 运行 或 是 去 除 保护 过 程 速度 合 比 开始 编译 /加 密 
RE, HELME, AMUSE! 请 不 要 给 安装 程 订 或 是 自 
解密 包 加 保护 ,否则 会 提示 文件 损坏 


图 2-82 编译 EXE 


(2) 单 击 “ 开 始 编译 /加 密 ” 按 钮 ,生成 test. exe 文件 (test. txt 文件 自动 消失 )。 
(3) 双击 test. exe ea 2-83 所 示 的 对 话 框 。 
(4) 输入 正确 密码 , 单 击 “ 确 定 ?按钮 ,出现 如 图 2-84 所 示 的 对 话 框 。 


ECBoy EXER RENH 


oul 
无 可 用 提示 


0 LÍ) emmae wesunaarmext 
口 解密 后 自动 打开 源 文件 外 ) 
JERO  XRFO 


图 2-83 自 解密 文件 对 话 框 图 2-84 “解密 完成 "对 话 框 
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(5) 在 当前 目录 下 test. txt 文件 重新 出 现 ,并 可 正常 浏览 。 


2.4.4 文件 夹 加 密 


在 Windows 平台 下 ,文件 夹 加 密 的 方式 归纳 起 来 有 两 种 : 一 种 是 简单 地 对 文件 夹 进行 
各 种 方式 的 隐藏 ,甚至 利用 Windows 的 漏洞 进行 隐藏 ,这 种 软件 根本 就 没有 对 数据 进行 任何 
加 密 处 理 ,加 密 效 果 极其 脆弱 ; 另 一 种 是 利用 Windows 内 核 的 文件 操作 监控 来 对 文件 和 文件 
夹 进行 安全 保护 ,这 是 目前 最 优秀 .最 安全 的 加 密 方式 ,代表 软件 是 美国 的 PGP 加 密 软件 。 

【 例 2-15] 使 用 PGP Desktop 加 密 文件 夹 。 

d) 第 一 次 运行 PGP Desktop ,出 现 *PGP 设置 助手 ”对 话 框 ,如 图 2-85 所 示 。 


PGP 设置 助手 


启用 PGP 


~ |< © Desktop RETIRE ORC, CRURRMEENS. MABURITER, R 


您 想 要 从 此 账户 启用 PGP 以 让 其 可 用 ?了 


omy 
OTO 


sony (C am | 


2-85 “PGP 设置 助手 "对话 框 


(2) 连续 单 击 “ 下 一 步 ” 按 钮 ,填写 相应 内 容 , 直 到 出 现 如 图 2-86 所 示 的 “输入 许可 证 ” 
界面 。 


PGP 设置 助手 


许可 助手 : 输入 许可 证 


输入 您 购买 后 接收 到 的 许可 证 或 在 下 面 更 新 。 加 果 您 没有 一 个 许可 证 号 ， 悠 可 
以 现在 购买 ,请求 一 个 一 次 性 评 众 或 使 用 产品 但 茜 用 多 数 功能 。 悠 也 可 以 法 择 
此 选项 在 今后 输入 一 个 许可 证 号 。 


Ps P i Desktop 


2-86 ”输入 许可 证 


第 2 章 密码 技术 57 


G) 选择 “不 使 用 许可 证 并 禁用 多 数 功能 ” 单 选 按钮 , 单 击 “下 一 步 ? 按 钮 ,安装 的 PGP 
Desktop 只 能 实现 对 文件 和 文件 夹 的 加 密 , 如 图 2-87 所 示 。 
PGP 设置 助手 
许可 


没有 指定 许可 证 。 大 部 分 功能 已 被 禁用 。 


"(s P i Desktop 


© 2 Ņ è w 
as da 


PGP PGP 
虚拟 盘 加 密 完整 磁盘 加 密 


忌 标 移动 到 图 标 上 了 解 有 关 PGP Desktop 9 的 每 个 功能 


ke so zpos Cea) C88_) 


2-87 只 有 加 密 文件 和 文件 夹 功能 


(4) 单 击 “下 一 步 ? 按 钮 ,在 如 图 2-88 所 示 的 “用 户 类 型 "中 选择 “我 是 一 个 新 用 户 ” 
选项 。 


PoP 设置 助手 
用 户 类 型 
P's >) Desktop SRE MANNE nce stn LOE. 
mert 
ORS-THAP@. | 
ORRNBMUPSHARES TSO. 


Sai = 78) 
图 2-88 ”选择 “用 户 类 型 ” 

O 连续 单 击 “下 一 步 ?按钮 ,填写 相关 内 容 , 直 到 出 现 如 图 2-89 所 示 的 “创建 密码 ”对 
话 框 。 

(6) 输入 密码 ,连续 单 击 * 下 一 步 "按钮 ,直到 出 现 如 图 2-90 所 示 的 “ 茶 喜 "对话 框 。 单 
击 “ 完 成 ”按钮 ,完成 PGP 设置 。 
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PoP 设置 助手 


创建 密码 
您 的 私 钥 将 受 密码 保护 ， 保 持 您 密码 的 机 密 性 ,不 把 地 写 下 来 是 很 重要 的 。 


Per Desktop 


您 的 密码 至 少 应 该 有 8 位 字符 长 度 ， 并 包含 数字 和 字母 。 


输入 密码 (p) : 显示 键入 (H) 


sae: (om) 


| Can ER 


2-89 创建 密码 
PGP 设置 助手 


P(c P i Desktop 


图 2-90 ”完成 设置 


(7) 运行 PGP Desktop ,出 现 如 图 2-91 所 示 的 界面 。 

(8) 执行 “PGP ER” |“ PGP 压缩 包 ? 命 令 ,出 现 *PGP 压缩 包 助 手 ” 对 话 框 ,如 
图 2-92 所 示 。 

O) 单 击 左 下 角 的 “添加 目录 ”或 “添加 文件 ”按钮 ,添加 想 要 加 密 的 文件 或 文件 夹 , 如 
图 2-93 所 示 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ,选择 加 密 的 方式 ,如 图 2-94 所 示 。 

aD 一 般 选 择 第 三 种 加 密 方式 “PGP 自 解密 文档 ”, 在 其 他 没有 安装 PGP Desktop 的 
计算 机 中 也 可 以 打开 。 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 2-95 所 示 的 对 话 框 中 输入 密码 。 
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@ PGP Desktop - 2201 
XED SRE FW IRD HAW 


RaW 


T meree Cy mrekse | Fi) see | Q HTA 5 ae 


图 2-91 


PGP Ei HB 


Ps P Desktop EESEL E 


È 
内 


个 助手 将 会 帮助 您 保护 文件 和 文件 夹 
:或 使 用 如 下 的 按钮 浏览 到 | 修 的 选择 


名 称 


邮件 
heiaheB126. com 


PGP Desktop 运行 界面 


以 用 于 存储 或 转移 ， 拖 放 悠 的 文件 到 此 方 框 


大 小 | 类 型 


拖 放 文件 到 此 处 


在 完成 时 发 送 原始 文件 到 PGP 粉 碎 器 


2-92 PGP 压缩 包 
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PEPER EDF 


e ce Desktop E 新 建 PGP 压 缩 包 


这 个 助手 将 会 帮助 您 保护 文件 和 文件 夹 以 用 于 存储 或 转移 ， 拖 放 悠 的 文件 到 此 方 框 
内 ,或 使 用 如 下 的 按钮 浏 先 到 悠 的 选择 。 


名 称 大 小 类 型 
BD test XR 
@) Doct. doe 69.5 KB Microsoft Word 文档 
四 | 四 | |B] |e 在 完成 时 发 送 原始 文件 到 PGP 粉 碎 器 


E Oe Oe 


图 2-93 添加 文件 或 文件 夹 


PEPER EIF 


Ps P i Desktop me 
SRESU ER CRRA NE, MRENERATRIER, ASSET 
Te 


O uenas 


O28 
FARA PARA BEA ,但 他们 都 使 用 PGP Desktop 


O pGp 自 解密 文档 
不 使 用 PGP Desktop 接 收 人 


ORES 
创 蛙 一 个 PGP 签名 文件 (不 加 密 ) 


e a lh 如 果 您 的 接收 人 不 使 用 PGP 
软 windows 的 计算 机 ， 这 是 最 好 的 选择 。 此 sDAi1 


Tee, 使 用 一 个 运行 微 使 用 一 
Meant een es RAMAR, WER. EU 


图 2-94 选择 加 密 方 式 
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PGP SES BD 


"(c P Desktop 


选择 项 目 


图 2-95 输入 密码 
(12) 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 2-96 所 示 的 对 话 框 中 选择 加 密 后 的 文件 保存 位 置 。 
PGP EM EDF 


P [oP | Desktop 签名 并 保存 
在 下 面 9 位 置 确认 您 签名 用 的 密 


选择 项 目 签名 窜 钥 


EEN uA wd) RA 帮助 


2-96 选择 路 径 


(13) 单 击 * 下 一 步 "按钮 ,PGP Desktop 开始 加 密 运 算 ,完成 后 出 现 如 图 2-97 所 示 的 对 话 框 。 

(14) 单 击 “ 完 成 ”按钮 ,加 密 后 的 文件 是 一 个 可 执行 的 EXE 文件 。 双 击 该 文件 ,弹出 如 
图 2-98 所 示 的 对 话 框 ,要 求 输入 口令 。 

(15) 输入 正确 密码 , 单 击 “ 确 定 ” 按 钮 ,解压 加 密 文件 。 


2.4.5 Windows XP 加 密 文件 系统 


Windows XP 中 的 加 密 文件 系统 (EFS) 使 用 扩展 数据 加 密 标准 (DESX) 作 为 加 密 算法 ， 
EFS 自动 为 用 户 生 成 一 对 密 钥 和 证 书 , 并 在 利用 了 CryptoAPI 结构 的 情况 下 以 公 钥 加 密 为 
基础 ,所 以 普通 用 户 不 需要 对 此 有 深入 的 了 解 就 可 以 随时 加 密 文件 或 文件 夹 。 

EFS 用 于 在 NTFS 文件 系统 卷 上 存储 已 加 密 的 文件 。 一 旦 加 密 了 文件 或 文件 夹 , 可 以 
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PGP EA BD 


"(c P Desktop 


2O zir 
OBEP MEN test. exe 
EDE 


选择 项 目 


图 2-97 完成 加 密 


像 使 用 其 他 文件 和 文件 夹 一 样 使 用 它们 。 
EFS 文件 加 密 系统 提供 以 下 功能 : 


。 用 户 可 以 对 存储 在 磁盘 上 的 文件 进行 加 密 ,加 密 过 程 非常 简单 。 


。 访问 加 密 的 文件 快 且 容易 。 
数据 的 加 密 是 自动 完成 的 ,对 用 户 完全 透明 。 


用 户 可 以 通过 清除 文件 “属性 "对话 框 中 的 加 密 复 选 框 随时 解密 文件 。 


。 管理 员 可 以 恢复 另 一 用 户 加 密 的 数据 。 这 能 够 确保 加 密 数据 的 用 户 不 在 或 丢失 私 


钥 时 ,仍然 可 以 访问 数据 。 
1. 使 用 EFS 加 密 文件 


CL) 打开 资源 管理 器 , 右 击 NTFS 文件 系统 分 区 上 和 欲 加 密 的 文件 或 文件 夹 ,执行 “属性 ” 


命令 ,打开 “文件 属性 ”对 话 框 ,如 图 2-99 所 示 。 


回归 
| 常规 “共享 |Web 共享 | BEN 
photo 
RAK 
EA 
167 MB (175,693,750 FP) 
168 MB (176, 439, 296 F$) 
PGP 自 解 客 文 档 - RAEE 343 个 文件 ，6 PICA 
选择 一 个 要 释放 数据 的 目录 : 2004 年 7 月 9 日 ，19:28:19 
[cnpocuments and Settings\JayHe|My Documents\ 
ERRE mao. 
请 在 下 面 的 密码 输入 框 中 输入 正确 密码 : a 
REO [mo] 
2-98 ”输入 密码 2-99 “文件 属性 "对话 框 
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(2) 在 “常规 ”选项 卡 中 , 单 击 “ 高 级 "按钮 ,出 现 “ 高 级 属性 ”对 话 框 ,如 图 2-100 所 示 。 

(3) 选择 “加 密 内 容 以 便 保护 数据 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,对 选中 的 文件 或 文件 夹 实 
施加 密 。 

(4) 如 果 加 密 的 是 单个 文件 ,在 单 击 “ 确 定 ” 按 钮 后 出 现 一 个 “加 密 警 告 ”对 话 框 ,询问 是 
否 要 同时 加 密 包含 它 的 文件 夹 , 如 图 2-101 所 示 。 


高 级 属性 DR 
EL SRON, ARASA RETRREERINEMF 
PAPERA: ws i 你 已 洗 皖 要 加 密 一 个 不 在 加 密 文 件 夹 中 的 文件 prema 
存档 和 编制 末 引 属性 A ee 
meza oo 
CNT REE » HFRS MTA RNRS| T 
Z 
serene ails i 
BASE SARS O F OERE 
加 密 内 容 以 便 保护 数据 © 
Css Ramet A Cae) 
图 2-100 “高 级 属性 "对话 框 图 2-101 “加 密 警告 "对 话 框 


如 果 选 择 该 项 ,所 有 将 来 添加 进 文件 夹 中 的 文件 和 子 文件 夹 都 将 在 添加 时 自动 加 密 。 

(5) 如 果 加 密 的 是 文件 夹 ,在 单 击 “确定 ”按钮 后 出 现 一 个 “确认 属性 更 改 ? 对 话 框 ,询问 
是 否 要 同时 将 文件 夹 内 的 所 有 文件 和 子 文件 夹 加 密 , 如 图 2-102 所 示 。 

如 果 选 择 “ 将 更 改 应 用 于 该 文件 夹子 文件 夹 和 文件 " 单 选 按 钮 ,那么 文件 夹 中 当前 的 和 
将 来 添加 的 所 有 文件 或 子 文件 夹 都 将 被 加 密 。 如 果 选 择 “ 仅 将 更 改 应 用 于 该 文件 夹 ” 单 选 按 
钮 , 则 文件 夹 中 当前 所 有 文件 和 子 文件 夹 将 不 加 密 ,将 来 任何 加 入 文件 夹 的 文件 和 子 文件 夹 
都 将 加 密 。 

(6) 单 击 “ 确 定 ” 按 钮 ,进行 加 密 , 如 图 2-103 所 示 。 


悠 已 经 选择 对 属性 进行 以 下 更 改 : 
加 密 


只 格 该 更 改 应 用 于 该 文件 夹 ， 还 是 同时 应 用 于 所 有 子 文件 夹 和 文件 ? 


OnRERMAT RHR ud = d 


ORNATE FAERIE eri 


E:\phote\ 访 山 \test 007. jpe 


we 


RR 2 分 钟 


图 2-102 “确认 属性 更 改 ” 对 话 框 图 2-103 正在 加 密 


(7) 加 密 完 成 后 目录 和 文件 的 名 称 将 会 变 成 绿色 ,用 户 可 以 像 访 问 未 加 密 的 文件 那样 
访问 加 密 文 件 , 但 是 某 个 没有 权限 的 普通 用 户 访问 这 类 加 密 文件 时 ,系统 会 发 出 警告 。 
2. 解密 文件 


解密 文件 的 方法 是 : 右 击 加 密 文件 或 文件 夹 , 执 行 “属性 ”命令 ,在 “常规 ”选项 卡 中 , 单 
击 “ 高 级 "按钮 ,在 出 现 如 图 2-100 所 示 的 “高 级 属性 ”对 话 框 中 清除 “加 密 内 容 以 便 保护 数 
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据 " 复 选 框 即 可 。 


2.4.6 系统 加 密 
前 面 介绍 的 内 容 是 对 文件 或 文件 夹 进行 加 密 , 如 果 想 对 系统 进行 全 
Security, 它 是 一 款 系统 级 的 加 密 工 具 , 可 以 锁定 因特网 ,任何 文件 与 目录 ,任何 磁盘 、 系 统 等 。 


运行 PC Security, 出 现 如 图 2-104 所 示 的 起 始 窗口 。 


面 加 密 , 可 以 使 用 PC 


©) 锁定 - PC Security (ta) 


SA: 客 码 仍然 是 “SECURITY"， 请 尽快 更 改 它 。 


请 首先 输入 密码 : 


c aE) 


mie Le] $ 2110 


ees D WE - FC Securi 


图 2-104 PC Security 起 始 界面 


输入 初始 密码 security, 单 击 “ 确 定 ” 按 钮 ,出 现 PC Security 管理 界面 ,如 图 2-105 所 示 


口 主页 - PC Security(ta) 


REQ) EEV 帮助 
GeL DEI EF LILII: 


ee 文件 到 /驱动 器 锁定 
ee 因特网 锁定 

ee 系统 锁定 

ee 入 侵 检 测 

— 资源 管理 器 控制 
ee 系统 限制 

- 设置 


版 权 所 有 © Tropical Software 完全 保留 


OEN - PC Securi,.. [E Microsoft Yord 


A 2-105 PC Security 管理 界面 


第 2 章 密码 技术 65 


1. 锁定 文件 .文件 夹 . 驱 动 器 
(1) 在 资源 管理 器 中 右 击 需要 加 密 的 文件 .文件 夹 或 驱动 器 ,执行 PC Security 上“ 锁定 ” 
命令 ,在 弹出 的 对 话 框 中 选择 加 锁 类 型 即 可 ,如 图 2-106 所 示 。 


RHR: 
C RE 


个 完全 镇 定 

个 BRAS 

个 BENTHE 

个 隐 疗 文件 严 

厂 不 再 询问 ， 只 使 用 当前 选项 


_ ma _| 
E 2-106 ”对 文件 文件 夹 或 驱动 器 加 锁 


(2) 访问 被 加 锁 后 的 文件 .文件 夹 或 驱动 器 ,出 现 如 图 2-107 所 示 的 对 话 框 , 显 示 不 能 
访问 该 文件 。 


无 法 访问 E:\。 
拒绝 访问 。 


(a) 无 法 访问 加 锁 后 的 文件 (>) 无 法 访问 加 锁 后 的 文件 夹 (© 无 法 访问 加 锁 后 的 驱动 器 
2-107 ”加 锁 后 无 法 访问 
(3) 右 击 加 锁 后 的 文件 ,文件 夹 或 驱动 器 ,执行 PC Security |“ 解锁 ”命令 ,在 弹出 如 
图 2-108 所 示 的 对 话 框 中 输入 密码 进行 解锁 ,解锁 后 即 可 访问 。 


Enter Password 


gdis 


A password is required to continue 


2-108 输入 密码 解锁 


2. 即时 锁定 系统 

如 果 需 要 暂时 离开 计算 机 ,通过 下 面 的 设置 可 以 防止 他 人 恶意 操作 计算 机 。 

CD) 执行 “查看 "| * 系 统 锁定 ”命令 ,出 现 如 图 2-109 所 示 的 窗口 。 

(2) 单 击 右 侧 上 方 “ 立 即 锁定 计算 机 ”按钮 ,当前 系统 自动 切换 到 类 似 屏幕 保护 的 状态 ， 
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©) 系统 锁定 - PC Security (tn) 
BEO SEV Bo 
ADRPADSCHMTZCRVe*wre 


立即 锁定 计算 机 OD 
厂 非 活动 C) [350 z] 分 钟 后 镇定 
设置 


厂 关机 询问 密码 G) 
r 
PEW: 


fe a 


BER SSSBSSIIRRRFSSSSRRSSSS 
8888888888888 888888888888 


~ x 


RE: 
Ra E ET RRE AEE. 


M tat @OBL" 2128 
2-109 即时 锁定 系统 
如 图 2-110 所 示 。 


Enter Password 


gei 


Please enter a password to unlock the machine 


一 一 一 一 
Cancel Shutdown 


2-110 系统 切换 到 类 似 屏幕 保护 状态 


(3) 只 有 在 输入 了 密码 后 才能 恢复 系统 的 正常 使 用 状态 。 

(4) 对 于 Windows 98 系统 , 若 希 望 在 启动 时 锁定 系统 ,可 以 将 图 2-109 右 侧 中 间 “ 设 
置 ?中 的 “启动 时 锁定 ?项 选中 。 

(5) 如 果 需 要 ,选中 图 2-109 左 侧 "起 用 计划 任务 锁定 ” 复 选 框 ,可 以 在 指定 的 时 间 内 锁 
定 计算 机 。 

3. 锁定 程序 

对 于 某 些 不 方便 被 他 人 使 用 的 重要 程序 ,可 以 使 用 PC Security 来 完成 程序 的 锁定 。 

(1) 执行 “查看 ”|* 快 捷 方式 /程序 锁定 ”命令 ,出现 如 图 2-111 所 示 的 窗口 。 

(2) 选择 要 加 锁 的 程序 , 单 击 中 间 的 “锁定 ?按钮 即 可 。 
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口 快捷 方式 /程序 锁定 - PC Security (ta) 
操作 查看 WD HW 
ADRPADSORT2Ze6RVevre 


程序 
加 WIDETECT. com 


wenn: RRO menes mav 2m] sw | 全 部 | waseso) so | amo] 
各 


选 定 程序 状态 路 径 


Dr test ” gi @ OB" @ 21:36 


图 2-111 锁定 程序 


2.4.7 密码 的 保存 
为 了 保证 密码 的 安全 ,常常 需要 为 每 个 账号 设置 不 同 的 密码 ,但 要 记忆 如 此 多 的 密码 是 
- 件 比 较 困 难 的 事 。 使 用 * 超 级 密码 卫士 ”, 可 以 分 门 别 类 地 管理 各 类 密码 。 用 户 只 要 记 住 
“超级 密码 卫士 "的 密码 ,其 他 的 密码 在 需要 的 时 候 通 过 “超级 密码 卫士 "可 以 方便 地 获得 。 
1. 建立 密码 库 文件 
(1) 运行 超级 密码 卫士 ,出 现 如 图 2-112 所 示 的 窗口 。 
T 超级 密码 卫士 v3. 1 


RAG) RRO BFW IAD 帮助 0D 
Be 


x | 账户 名 称 


FELH 


图 2-112 超级 密码 卫士 起 始 界面 
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(2) 执行 “文件 ”1“ 新 建 "命令 ,打开 新 建 密码 库 文件 向 导 , 如 图 2-113 所 示 。 


超 缀 密码 卫士 文 件 新 建 向 导 


UAH RE LEE AINE + 


软件 可 供 多 人 使 用 ,各 人 可 以 建立 各 自 不 同 的 密码 管理 文件 。 
peed E 之 类 的 代码 ， 用 户 对 个 人 的 资料 信息 存储 、 


RAC) 


图 2-113 新 建文 件 向 导 
G) 单 击 “下 一 步 ?按钮 ,出现 如 图 2-114 所 示 的 对 话 框 。 


新 建文 件 保存 路 径 、 文 件 名 称 


管理 文件 名 称 : 


Beas 选择 G) 


| mao | 


图 2-114 密码 管理 文件 
(4) 输入 要 建立 的 密码 管理 文件 名 称 及 路 径 , 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 2-115 所 示 


的 对 话 框 。 


产 建文 件 保 存 密码 


a 


BHO) 


2-115 设置 密码 
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G) 输入 密码 库 文件 密码 , 单 击 * 下 一 步 ?按钮 ,出现 如 图 2-116 所 示 的 对 话 框 。 


&) 
IRSE 
件 被 打开 后 ， 你 都 可 以 设 定 | 间 ， 加 5 分 钟 ， 
Peza El FOES 


emaema: Ro H Ae 


tso [75] mo | mo 


A 2-116 ”完成 设 定 
(6) 单 击 “ 完 成 ”按钮 ,返回 到 起 始 界 面 
2. 在 密码 库 文件 中 添加 账号 和 密码 
(1) 在 起 始 界 面 中 执行 “文件 ”1 “打开 ”命令 ,选择 密码 库 文 件 ,出 现 如 图 2-117 所 示 的 
对 话 框 。 
(2) 输入 密码 库 文件 密码 , 单 击 “ 确 定 ” 按 钮 ,返回 到 起 始 界 面 。 在 起 始 界 面 中 右 击 “分 
类 管理 ”, 执 行 “新 增 目录 夹 "命令 ,出 现 如 图 2-118 所 示 的 对 话 框 。 


打开 文件 加 Mtest\test. spe k a: 加 | 
] 


mm | ww | www | Rao 


图 2-117 打开 密码 库 文件 图 2-118 在 密码 库 文件 中 建立 目录 夹 


FSB | 


(3) 建立 不 同 的 目录 夹 可 以 分 别 存放 不 同 的 账号 和 密码 ,如 将 邮箱 密码 保存 到 “邮箱 ” 
目录 夹 中 、 把 银行 账号 密码 保存 到 “银行 "目录 夹 中 。 在 “目录 名 称 ” 文 本 框 中 输入 “邮箱 ”, 单 
击 “ 确 定 ” 按 钮 ,在 “分 类 管理 ”下 出 现 “ 邮 箱 ” 目 录 夹 ,如 图 2-119 所 示 。 

(4) 单 击 “ 邮 箱 ”, 执 行 “ 编 辑 ”|“ 添 加 账户 ”命令 ,出 现 如 图 2-120 所 示 的 对 话 框 。 

(5) 输入 账户 名 称 、 用 户 名 称 、 用 户 密 码 等 信息 , 单 击 “ 确 定 ” 按 钮 ,出 现 如 图 2-121 所 示 
的 窗口 。 

3. 使 用 密码 库 文件 中 保存 的 密码 

(1) 在 起 始 界面 中 执行 “文件 "| 打开 ?命令 ,选择 密码 库 文件 ,输入 密码 库 文件 密码 , 单 
击 “ 确 定 ” 按 钮 ,返回 到 起 始 界面 。 

(2) 单 击 “ 邮 箱 ”, 右 击 账户 ,出 现 如 图 2-122 所 示 的 快捷 菜单 。 

G) 执行 “拷贝 密码 ”命令 ,将 密码 复制 到 “剪贴 板 ”, 从 而 获得 需要 的 密码 。 
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T 超级 富 码 卫士 v3.1 jer 
XFO SED Fw TAD HHW 

Q Bhat ge? a 

x [EPER 用 户 名 称 I RP 


D:\test\test. spe 


图 2-119 目录 夹 建立 完毕 


&) 
当前 路 径 N 
账户 名 称 
用 户 名 称 
用 户 密码 +| 随机 生成 | sa 
HAR 访问 
创建 日 期 [2005-9-18 21:31:39 
备注 ~ 
全 部 清空 | saan | RHO 
图 2-120 添加 账户 
FF 超级 害 码 卫士 v3. 1 BAA 


XPO RED EFV IAV ho 
Gceatraxzxa goe Ohare? 用 

x | 帐户 名 称 用 户 名 称 | APER |H 
Bs rr 


D:\testitest. spz 


图 2-121 账户 添加 完毕 
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TEREPE v3.1 
文件 区) 编辑 时) EFV IAW 帮助 0 
acah Q oS 加 个 令 ? 有 
x | 账户 名 称 用 户 名 称 | 用 户 密码 | 对 应 链 
| | [wwe | 
持 贝 名 称 四 Ctrl +U 
BLEBQ Ctrl + P 
拷贝 链接 LL) Ctrl +L 
访问 链接 V 
新 增 账户 Ctrl +A 
KP Ctrl +E 
删除 账户 Delete 


D:\test\test. spg 


图 2-122 选择 需要 密码 的 账户 
2.4.8 密码 强度 的 检测 


要 保护 系统 的 安全 必须 设置 安全 的 用 户口 令 ,口令 选择 在 系统 的 整体 安全 中 起 到 关键 
的 作用 。 用 户口 令 依 据 其 长 度 和 复杂 度 可 以 分 为 强 口令 和 弱 口 令 两 种 ,所 谓 强 口令 是 指 其 
组 成 成 分 复杂 ,能 够 涵盖 尽 可 能 多 的 字符 类 型 , 且 长 度 足够 长 ,从 而 不 容易 被 穷 举 的 口令 
弱 口 令 则 泛 指 可 以 被 轻易 猜测 或 者 经 过 简单 的 字典 攻击 即 可 被 破解 的 口令 。 

为 了 增强 口令 的 安全 性 ,在 选择 口令 时 要 依据 一 定 的 规则 以 尽量 减少 使 用 弱 口 令 的 可 
能 性 。 下 面 是 一 些 选择 口令 的 规则 ; 

。 在 便于 记忆 的 前 提 下 使 用 尽 可 能 长 的 口令 。 

。 使 用 尽 可 能 多 的 字符 类 型 ,如 大 小 写字 母 .数字 和 特殊 字符 。 

。 不 要 使 用 英文 单词 或 拼音 作为 密码 。 

”不 要 使 用 日 期 或 电话 号 码 作为 密码 。 ane E s X 

。 不 要 使 用 用 户 名 或 者 用 户 名 的 变形 作为 密码 。 ET ENN: 

。 不 要 将 密码 存放 在 计算 机 的 文件 上 。 = epee ele 

一 个 好 密码 应当 具备 以 下 几 个 特点 : 足够 长 ,不 | 
用 完整 的 单词 , 尽 可 能 包括 数字 、 标 点 符号 和 特殊 字 | ERS B e a 
符 , 混 用 大 小 写字 符 , 经 常 修改 密码 。 aran: 

使 用 “密码 安全 测试 器 ”软件 可 以 测试 密码 的 复 
杂 度 和 安全 强度 ,并 可 以 得 到 破译 该 密码 所 需 时 间 的 
大 致 信息 ,我 们 可 以 根据 测试 的 分 析 结果 调整 自己 的 “| om， 
密码 。 需要 单位 


【 例 2-16) 使 用 "密码 安 全 测试 器 "测试 密码 的 “| eR a 
强度 。 软件 设计 者 : renee 


牧 起 要 有 交 的 保护 悠 的 重要 数 
html 下载 “CGI RERS 


d) 运行 “密码 安全 测试 器 ”软件 ,出 现 如 图 2-123 图 2-123 ”程序 界面 
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所 示 的 程序 界面 。 

(2) 在 “请 输入 您 的 密码 ”文本 框 中 输入 口令 shanghai, 单 击 “ 开 始 分 析 ” 按 钮 ,分 析 结 果 
如 图 2-124 所 示 ,破解 该 密码 只 要 17 分 钟 。 

(3) 根据 分 析 结 果 调 整 密码 ,在 密码 中 加 入 大 写字 符 、 数 字 、 特 殊 符号 并 使 长 度 超过 8 
位 ,如 Shang Hai %021。 单 击 “ 开 始 分 析 ” 按 钮 ,分 析 结 果 如 图 2-125 所 示 。 破 解 该 密码 需 
要 5 千 多 万 年 ,可 见 其 安全 性 之 高 。 


me -EA = 
gnn 人 
| /sof ie tal. CG 
证 BAR eked 


请 输入 您 的 密码 ; Fah 


SUP SUSE, BERRIN 
Le > WS) www. skyen. com/s nts html ee ca eae 
XP 豪华 版 "， 它 是 一 款 界 面 华表 ,功能 强大 的 安全 产品 


RASOS : Bhati | A 


密码 安全 测试 器 


密码 强度 
非常 弱 。 B Ae 强 非常 强 
| 


分 析 结 果 : 
mz 


破解 密码 所 需 时 间 : 破解 密码 所 需 时 间 : 
时 间 以 一 台 每 秒 能 测试 100 万 个 密码 的 电脑 为 标准 
需要 chad ae p 
= 3 D PABER A 
o E shee ss AESA E Sa 
软 伞 设 计 者 : RRR 软件 设计 者 : RARE 
2-124 弱 口 令 的 分 析 结 果 2-125 ” 强 口令 的 分 析 结 果 


2.5 数据库 加 密 


数据 库 加 密 系统 能 够 有 效 地 保证 数据 的 安全 ,即使 非法 用 户 窃取 了 关键 数据 ,他 仍然 难 
以 得 到 所 需 的 信息 ,因为 所 有 的 数据 都 经 过 了 加 密 。 另 外 ,数据 库 加 密 后 ,可 以 设 定 不 需要 
了 解数 据 内 容 的 系统 管理 员 不 能 见 到 明文 ,大 大 提高 了 关键 数据 的 安全 性 。 


2.5.1 数据 库 加 密 的 方法 


数据 库 加 密 系 统 对 数据 库 密码 的 要 求 是 : 

。 数据 库 加 密 以 后 ,数据 量 不 应 明显 增加 。 

。 某 一 数据 加 密 后 ,其 数据 长 度 不 变 。 

。 加 解密 速度 要 足够 快 ,数据 操 作 响应 时 间 应 该 让 用 户 能 够 接受 。 

改变 对 分 组 密码 算法 传统 的 应 用 处 理 方法 ,使 其 加 密 后 密 文 长 度 不 变 , 就 能 满足 以 上 几 
点 要 求 。 

在 使 用 分 组 密码 算法 时 ,对 明文 尾部 不 满 一 个 整 组 的 碎片 通常 采用 填充 随机 数 的 办 法 
将 其 扩充 为 一 个 整 组 ,然后 进行 加 密 。 这 种 处 理 方法 会 使 数据 扩张 ,不 适合 数据 库 加 密 ,为 
此 采用 “密码 挪用 法 ”来 解决 这 个 问题 ,如 图 2-126 所 示 。 

假设 待 加 密 数 据 的 长 度 为 13 ,每 个 分 组 长 度 为 8。 第 一 组 (1 一 8) 加 密 后 截取 第 6 一 8 的 
密 文 与 尾部 (9 一 13) 组 成 一 个 整 组 进行 加 密 , 加 密 所 得 密 文 接 在 前 一 个 组 的 第 5 个 密 文 之 
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后 。 其 中 ， eS Ree eee Sve 
pi hie 1}2]3]4]s]o]7]s8]9fiolny i 13 
密 , 在 解密 时 也 应 该 进行 二 次 脱 密 。 这 样 就 保 | 
证 数据 库 加 密 后 的 数据 长 度 不 会 发 生变 化 。 第 一 组 加 密 
?| > 3°|4|5|6| 7 |8lololili2) 13 
2.5.2 数据 库 加 密 的 实现 | 第 二 组 加 密 
对 数据 库 数 据 的 加 密 可 以 在 三 个 不 同 层次 |r lzel] 6 | rls] 9° ol 13° 


实现 ,这 三 个 层次 分 别 是 OS. DBMS 内 核 层 和 
DBMS 外 层 。 

1. 在 OS 层 实现 加 密 

由 于 无 法 辨认 数据 库 文件 中 的 数据 关系 ,从 而 无 法 产生 合理 的 密 钥 ,也 无 法 进行 合理 的 
密 钥 管理 和 使 用 。 所 以 ,在 OS 层 对 数据 库 文件 进行 加 密 , 对 于 大 型 数据 库 来 说 ,目前 还 难 
以 实现 。 

2. 在 DBMS 内 核 层 实现 加 密 

在 DBMS 内 核 层 实现 加 密 是 指数 据 在 物理 存 取 之 前 完成 加 密 和 人 解密 工作 ,DBMS 和 加 
密 器 之 间 的 接口 需要 DBMS 开发 商 的 支持 。 这 种 加 密 方式 的 优点 是 加 密 功 能 强 , 并 且 加 密 
几乎 不 会 影响 DBMS 的 功能 。 其 缺点 是 在 服务 器 端 进 行 加 密 和 解密 运算 ,加 重 了 数据 库 服 
务 器 的 负载 。 这 种 加 密 方式 如 图 2-127 所 示 。 

3. 在 DBMS 外 层 实现 加 密 

将 数据 库 加 密 系 统 做 成 DBMS 的 一 个 外 层 工具 (如 图 2-128 所 示 )。“ 加 密 定义 工具 ” 
模块 的 主要 功能 是 定义 如 何 对 每 个 数据 库 表 数据 进行 加 密 。 在 创建 了 一 个 数据 库 表 后 , 通 
过 这 一 工具 对 该 表 进 行 定义 。“ 数 据 库 应 用 系统 ”模块 的 功能 是 完成 数据 库 定义 和 操 作 。 数 
据 库 加 密 系统 将 根据 加 密 要 求 自动 完成 对 数据 库 数据 的 加 解密 。 采 用 这 种 加 密 方 式 , 加 解 
密 运 算 可 以 放 在 客户 端 进行 ,其 优点 是 不 会 加 重 数据 库 服 务 器 的 负载 并 可 实现 网 上 传输 加 
密 , 缺 点 是 加 密 功 能 会 受到 一 些 限 制 。 


2-126 ”密码 挪用 法 


i 


定义 加 密 要 求 工具 


加 密 定义 工具 


1 mee Lj] 数据 库 
DBMS Bi fe (软件 或 硬件 ) 上 | ”应用 系统 
T VY. MIL 
! | 
mera 
(软件 或 硬件 ) DBMS 
2-127 Æ DBMS 内 核 层 实现 加 密 2-128 在 DBMS 外 层 实 现 加 密 


2.5.3 数据 库 加 密 系统 的 结构 


数据 库 加 密 系 统 分 成 两 个 功能 独立 的 主要 部 件 : 加 密 字典 管理 程序 、 数 据 库 加 密 和 人 解 
密 引 擎 ,体系 结构 如 图 2-129 所 示 。 
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Tee TE 数据 库 加 密 系统 将 用 户 对 数据 库 信 息 的 具体 
管理 程序 | “| 数据 | “| ggg (Lege) 加 密 要 求 记载 在 加 密 字典 中 ,加 密 字典 是 数据 库 
mel EE 加 密 系统 的 基础 信息 。 
加 密 系统 | ,| 引擎 | ,|“”|_ ,| 用 户 加 密 字典 管理 程序 是 管理 加 密 字 典 的 实用 程 
anes BOP] 序 , 是 数据 库 管理 员 变 更 加 密 要 求 的 工具 。 加 密 
图 2-129 ”数据 库 加 密 系统 体系 结构 。 ”字典 管理 程序 通过 数据 库 加 密 和 解密 引擎 实现 对 
数据 库 表 的 加 密 、 解 密 及 数据 转换 等 功能 。 
数据 库 加 解密 引擎 是 数据 库 加 密 系统 的 核心 部 件 , 负 责 在 后 台 完 成 数据 库 信息 的 加 密 
和 解密 处 理 , 它 对 于 应 用 开发 人 员 和 操作 人 员 是 透明 的 。 
按 以 上 方式 实现 的 数据 库 加 密 系统 具有 很 多 优点 。 首 先 , 系统 对 数据 库 的 最 终 用 户 完 
全 透明 ,数据 库 管理 员 可 以 指定 需要 加 密 的 数据 并 根据 需要 进行 明文 / 密 文 的 转换 工作 ; 其 
次 ,系统 完全 独立 于 数据 库 应 用 系统 ,不 需要 改动 数据 库 应 用 系统 就 能 实现 加 密 功能 ,同时 
系统 采用 了 分 组 加 密 和 二 级 密 钥 管 理 ,实现 了 “一 次 一 密 ”; 其 三 ,系统 在 客户 端 进行 数据 加 
密 和 解密 运算 ,不 会 影响 数据 库 服务 器 的 系统 效率 ,数据 加 解密 运算 基本 无 延迟 感觉 。 


2.6 光盘 加 密 


由 于 CD-ROM 的 文档 结构 是 遵循 ISO-9660 的 标准 制定 的 ,而 ISO-9660 的 文档 结构 不 
但 公开 且 过 于 简单 ,因此 很 难 加 以 保护 。 加 上 光盘 成 本 越 来 越 低 ,各 种 CD-ROM 的 制作 及 
复制 程序 不 断 推陈出新 ,导致 了 盗版 的 严重 泛滥 。 资 版 是 软件 工业 所 面临 的 最 大 问题 之 一 ， 
在 我 国 软件 盗版 非常 严重 ( 据 统 计 达 90% 以 上 ) ,这 对 于 我 国 的 软件 行业 发 展 造成 了 很 大 的 
破坏 。 

目前 流行 的 光盘 加 密 技 术 主 要 可 以 分 为 三 大 类 : 软 加 密 、 硬 加 密 和 物理 结构 加 密 技 术 。 


2.6.1 Me 


软 加 密 就 是 通过 修改 ISO-9660 的 结构 ,实现 “垃圾 档 ”"“ 超 大 容量 "文件 和 隐藏 目录 等 
功能 。 由 于 CD-ROM 的 文档 中 记载 着 起 始 位 置 . 长 度 . 属 性 等 信息 ,使 用 者 只 要 熟悉 ISO- 
9660 的 文档 规则 ,通过 修改 这 些 信息 就 可 以 达到 上 述 效 果 。 

1. 光盘 加 密 

通过 修改 文档 的 起 始 位 置 , 可 以 造成 看 得 到 该 文档 却 不 能 对 它 进行 复制 ,实现 “垃圾 档 ” 
效果 ; 设置 “超大 容量 ”文件 的 原理 ,就 是 把 实际 很 小 的 文件 修改 成 几 百 兆 到 上 千 兆 的 超大 
文件 (实际 上 是 欺骗 操作 系统 ) ,造成 文件 复制 失败 ; 隐藏 目录 法 就 是 把 目录 隐 含 掉 , 使 用 济 
览 器 查看 光盘 时 看 不 到 任何 目录 ,而 只 能 看 到 根 目录 下 的 几 个 文件 。 

光盘 加 密 大 师 是 一 款 加 密 光 盘 制 作 工具 ,可 以 用 它 修 改 光 盘 镜 像 文 件 , 将 光盘 镜像 文件 
中 的 目录 隐藏 ,将 普通 文件 变 为 超大 文件 ,轻松 制作 加 密 光 盘 。 

【 例 2-17) 使 用 光盘 加 密 大 师 制 作 加 密 光 盘 。 

(1) 用 光盘 镜像 编辑 软件 (如 WinISO、CDImage 等 ) 将 整 张 光 盘 或 者 硬盘 上 的 文件 制 
作成 光盘 镜像 文件 。 
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(2) 运行 光盘 加 密 大 师 , 打 开 刚才 做 好 的 光盘 镜像 文件 ,如 图 2-130 所 示 。 


2 KAMEA 4.0.3 加 加 加 
XO RAD MB) BAO 


2-130 打开 光盘 镜像 文件 


G) 单 击 工 具 栏 上 的 “隐藏 选 定 目 录 ”、“ 变 为 超大 文件 "等 按钮 ,实现 将 目录 隐藏 ,文件 
变 大 等 功能 。 
(4) 单 击 “ 写 入 光 盘 密 码 ” 按 钮 ,出 现 如 图 2-131 所 示 的 对 话 框 , 可 以 设置 打开 光盘 时 的 


全 首选 项 
© 写 入 解密 程序 cdrun exe, 并 自动 运行 


C 写 入 解密 程序 cdrun. exe, 不 自动 运行 
厂 即使 密码 正确 也 禁用 光盘 浏览 器 的 复制 功能 


人 @ 密 码 形式 及 密码 

他 密码 (1-20 位 ,区 分 大 小 写 ) 
厂 按键 (1-20 位 , 不 分 大 小 写 ) 
C 日 期 |2005 年 7 月 26 日 +] (4980-01-01 至 2099-12-31) 


onrsas 

G RTRMEAM HAM 

个 打开 指定 的 主要 目录 
ysaf 

C 运行 指定 的 主要 程序 
A 
参数 : [E =I 


RAO 下 一 步 中 


图 2-131 设置 打开 光盘 时 的 密码 


(5) 使 用 Nero 等 刻录 软件 将 镜像 文件 刻 和 人 光盘 ,如 图 2-132 所 示 。 

(6) 打开 刻录 后 的 光盘 ,出 现 如 图 2-133 所 示 的 对 话 框 ,要求 输入 正确 的 密码 。 

2. 加 密 光 盘 的 复制 

上 述 方法 不 能 达到 全 面 保护 光盘 的 目的 ,如 防止 光盘 复制 刻录 制作 镜像 文件 等 ,也 逃 
不 过 CloneCD, DiscJ uggler,CDRwin 等 软件 的 “追捕 ”。 

【 例 2-18] 使 用 CloneCD 软件 实现 加 密 光 盘 的 复制 。 

CloneCD 是 一 款 功能 强大 的 CD-Copy 程序 ,不 管 光盘 是 否 有 保护 或 加 密 , 它 能 够 忠实 
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Sw Hero Express Cie 
您 要 使 用 哪个 刻录 机 ? 
2 Image Recorder [CD-R/RW] {v 
BBERRHA? | 
Q sexs > 
3 音乐 > 
SB war > 
@ saeka | 
盘 映 像 或 保存 项 目 
光盘 映像 或 保存 项 目 
将 先前 刻录 到 量 盘 驱动 器 的 光盘 映像 刻录 及 Pt 盘 
[@] © 
A 2-132 将 镜像 文件 刻 入 光盘 
地 将 其 复制 下 来 。 


(1) 运行 CloneCD 软件 ,在 第 一 次 运行 时 选择 语言 种 类 
为 Chinese Simplified, 如 图 2-134 所 示 。 
(2) 单 击 OK 按钮 ,出 现 如 图 2-135 所 示 的 程序 主 


界面 。 


S 请 答 入 光盘 窗 玛 


2-133 ” 受 密码 保护 的 光盘 


Language 

Arabic E Japanese E Spanish 

BÑ Bahasa Malaysia Korean E Spki 

EA Bulgarian E Lithuanian E Suomi 

A Catalar E Macedonian A Swedish 

Czech Maga Atha 

B Danish EA Nederlands EA Trad Chinese 

À Doutsch Norwegian A Turkish 

A Eesi EA Perian 

EA Engish ES Polish 

French E Portuguese 

r bad @ CloneCD 

BHivatski S wo IRV hw 

B ltalian E Slovenski | | | 

图 2-134 选择 中 文 界面 图 2-135 CloneCD 主 界面 

(3) 单 击 “ 复 制 光盘 ”按钮 ,出 现 如 图 2-136 所 示 的 对 话 框 。 
(4) 单 击 “ 步 ? 按 钮 ,出现 如 图 2-137 所 示 的 对 话 框 ,选择 光盘 读 取 驱 动 器 。 


G) k 
(6) 单 击 


(7) 单 击 “ 


(8) 单 击 


步 ? 按 钮 ,出现 如 图 2-138 所 示 的 对 话 框 ,生成 映像 文件 。 


步 ? 按 钮 ,选择 刻录 速度 ,如 图 2-140 所 示 。 
”按钮 ,出 现 如 图 2-141 所 示 的 窗口 , 读 取 光 盘 内 容 。 


复 
下 一 
下 一 
“下 一 步 ” 按 钮 ,出 现 如 图 2-139 所 示 的 对 话 框 , 选 择 刻 录 机 。 
下 一 
确定 
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人 S 从 光盘 驱动 器 复制 到 刻录 机 K) 
“a 2 -= 
es Mp 
LITE-ON 2. DVD-ROM 
LTR-523. : 
TT RAT. 1,23 
图 2-136 “从 光盘 驱动 器 复制 到 刻录 机 ”对 话 框 
仿 从 光盘 驱动 器 复制 到 刻录 机 区 
ENEMA — 
区 到 Do-RoN 1.23 @:) pel 
Audio CD Data CD Game CD 
8 parasas 
Multimedia Protected Ris 1 z 
Audio CD PC Gane pea aiso k EB 
54:58:03 (分 : 秒 :小 数 ) 
y 3 大 小 : 568138 KF 
Track 1: za 2, KA: 547467 k FP 
Track 2: Ek, KA: 10335 k FB % 
图 2-137 “选择 光盘 读 取 驱动 器 ”对话 杠 
您 人 光盘 殉 动 器 复制 到 刻录 机 EJ 
= = 信息 : 
C: \DOCUME 1 \ADMINT “1 \LOCALS™1 \Temp\IMAGE. ced EE 
HES xs 
浏览 @) AiR: 247353 
时 间 : 54:58:03 (分 : 秒 :小 数 ) 
创建 "Cue-Sheet” pi 3 568138 KFS 
回 刻 录 成 功 后 删除 Track 1: 数据 模式 2, a S k FP 
口 复制 “on the Fly” mas a 区 10335 tee 
关于 选择 映像 文件 
2-138 “选择 映像 文件 ”对话 框 
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RAL 


下 一 步 AF 
图 2-139 
O 从 光盘 驱动 器 复制 到 刻录 机 
Lesa S| 


Q LITE-ON LTR-52327S QSST Of:) 


ARER: Ma 
口 仿 真 刻录 (不 是 所 有 的 刻录 机 都 支持 ) 


Audio CD Data CD Game CD 
a 
Multimedia Protected 
Audio CD 
取消 ©) 
关于 选中 的 刻录 机 
图 2-140 “ 


@ clonecp 
IRW 
从 光盘 读 职 片断 进度 1， 总 计 1 


CON 


ERF: 
TRF: 


2-141 


已 用 时 间 : 00:01:00 剩余: 00:00:50 


“选择 刻录 机 ”对 话 框 


ere 
: LITE-ON 
:LTR-52327S 
修订 次 数 : asst 


外 see 
i se | 


ES: 是 


息 - 
t = 
是 
可 用 空间 : 826528 k FP 


cee 358849 
79:57:74 (分 : 秒 :小 数 ) 


ean | 


确定 0) 


选择 刻录 速度 "对话 框 


js% 


当前 速度 : 5500 kByte/s (31.25) 
0% 


0% 


正在 读 取 光盘 内 容 


(9) 读 取 完成 后 , 写 人 到 刻录 机 中 ,如 图 2-142 所 示 。 
(10) 刻录 完成 后 ,出 现 如 图 2-143 所 示 的 对 话 框 。 
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& CloneCD 
IRQ 
写 入 片断 1 映像 文件 .- 


I 已 用 时 间 : 00:01:25 #1: 00:00:40 


BATES: 6240 kByte/s (35.46) 
ERT: 100% 


pros 


图 2-142 正在 写 入 刻录 机 图 2-143 复制 完成 


2.6.2 硬 加 密 


采用 硬 加 密 的 光盘 ,在 运行 时 需要 某 些 特定 设备 ,如 加 密 狗 ,特定 的 解码 电路 ,特定 
光驱 或 特定 播放 设备 。 这 种 加 密 方法 的 技术 难度 高 .加密 强 度 好 ,但 使 用 不 方便 且 加 密 
费用 高 。 

从 外 观 上 来 看 ,多 数 加 密 狗 是 体积 小 如 火柴 盒 、 接 在 并 口 或 USB 口 的 保护 装置 ,其 加 密 
思想 是 在 程序 执行 中 与 加 密 狗 交换 数据 。 采 用 “用 户 算法 植 和 人” 的 加 密 狗 在 加 密 硬件 中 开辟 
一 块 存储 区 ,将 用 户 程序 的 一 部 分 写 进去 ,并 交 由 加 密 狗 来 执行 。 用 户 程 序 如 果 没 有 狗 , 将 
不 完整 。 加 密 狗 与 用 户 程序 从 而 实现 了 最 紧密 的 结合 , 令 加 密 效 果 特 别 可 靠 。 

采用 特定 设备 的 典型 是 Wave Systems 公司 ,该 公司 与 提供 盘 片 内 容 的 公司 和 原始 设 
备 制造 商 建立 伙伴 关系 , 同 计算 机 一 起 捆绑 销售 CD-ROM 和 DVD-ROM。 要 购买 CD- 
ROM 和 DVD-ROM ,消费 者 必须 拥有 一 种 结合 了 WaveMeter 的 附加 卡 或 外 围 设备 ,或 者 
安装 了 WaveMeter 的 新 的 计算 机 。 一 旦 WaveMeter 通过 WaveNet 注册 ,消费 者 才 可 以 使 
用 CD 上 的 内 容 。 这 种 办 法 ,当然 可 以 很 有 效 地 防止 盗版 ,但 是 很 明显 ,其 费用 是 很 高 的 , 因 
为 要 附加 特定 的 软 ,硬件 。 


2.6.3 ”物理 结构 加 密 技术 


物理 结构 加 密 技 术 , 就 是 改变 光盘 的 物理 结构 ,其 主要 原理 是 利用 特殊 的 光盘 母 盘 上 的 
某 些 特征 信息 是 不 可 再 现 的 ,这 些 特征 信息 位 于 光盘 复制 时 复制 不 到 的 地 方 ,大 多 是 光盘 上 
非 数 据 性 的 内 容 。 

在 使 用 光盘 刻录 工具 进行 光盘 复制 的 过 程 中 ,会 被 系统 检测 成 “ 坏 扇 区 ?而 中 断 复 
制 ,合法 软件 因此 得 到 了 保护 。 但 是 母 盘 设备 价值 昂贵 ,改动 母 盘 机 ,首先 会 产生 额外 费 
用 ,其 次 操作 不 便 且 耽误 软件 产品 的 上 市 时 间 , 最 后 在 对 抗 虚拟 光驱 类 程序 时 也 显示 出 
不 足 。 

例如 TTR,LASERLOCK, Macrovision, C-Dilla 等 公司 在 光盘 上 制作 出 指纹 (特殊 的 轨 
GE BR) ,这 些 指纹 无 法 通过 刻录 设备 或 母 盘 制 作 设备 读 取 。 用 光盘 测试 软件 测试 时 发 现 ， 
盘 片 上 有 许多 的 坏 扇 区 ,这些 坏 扇 区 就 是 用 来 防止 对 光盘 进行 复制 的 。 但 是 对 于 这 些 防 咨 
版 盘 , 如 果 将 其 文件 复制 到 硬盘 上 ,然后 用 一 个 光驱 虚拟 软件 将 这 些 文件 虚拟 成 一 个 光盘 的 
话 ,仍然 可 以 正常 运行 。 
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af ww NA 


解密 。 


J if 


. 什么 是 明文 、 密 文 和 密 钥 ? 

. 密码 攻击 的 方法 有 哪 几 种 ? 特点 是 什么 ? 

. 对 称 密码 体制 和 非 对 称 密码 体制 的 特点 是 什么 ? 
. 代替 密码 和 换 位 密码 的 特点 是 什么 ? 

. 使 用 加 法 密码 ,乘法 密码 , 仿 射 密码 、 密 钥 短语 密码 ` 维 吉 尼 亚 密码 . 换 位 进行 加 密 和 


. 简 述 现代 密码 学 的 两 大 成 就 。 

. 公开 密 钥 如 何 应 用 于 保密 通信 和 数字 签名 ? 

.申请 数字 证 书 , 实 现 电子 邮件 的 数字 签名 。 

. 简 述 基于 生物 特征 密码 技术 的 基本 原理 和 过 程 。 

. 上 机 实现 RAR 文件 ,Office 文 件 .PDF 文件 的 加 密 与 破解 。 
. 上 机 使 用 通用 文件 加 密 软 件 Easycode Boy Plus 对 文件 进行 加 密 。 
. 上 机 使 用 PGP Desktop 实现 对 文件 或 文件 夹 的 加 密 。 

. 上 机 使 用 EFS 实现 文件 加 密 。 

. 上 机 实现 对 系统 的 加 密 。 

. 上 机 实现 密码 的 保存 。 

. 简 述 选择 强 口 令 的 规则 。 

.数据库 加 密 系统 有 哪些 特殊 要 求 ? 

. 简 述 光盘 加 密 技术 的 三 种 技术 。 


第 3 童 通信 保密 技术 


保密 通信 已 经 有 了 几 千 年 的 历史 , 它 最 先 用 于 政治 和 军事 ,进入 信息 时 代 后 ,通信 保密 
不 仅仅 限于 军事 和 政治 ,商业 和 个 人 隐私 的 保护 使 得 保密 通信 成 为 越 来 越 多 人 的 基本 需要 。 
信息 时 代 的 军事 ,政治 更 依赖 于 保密 通信 ,因为 信息 传送 已 成 为 现代 信息 战 的 重要 一 环 。 
通信 保密 技术 包括 数据 保密 通信 .话音 保密 通信 和 图 像 保密 通信 。 


3.1 保密 通信 的 基本 要 求 


保密 通信 的 基本 要 求 是 : 保密 性 、 实 时 性 、 可 用 性 和 可 控 性 。 

1. 保密 通信 的 保密 性 要 求 

通信 的 保密 性 指 防 止 信息 被 非 授 权 的 泄露 ,包括 通信 的 隐蔽 性 .通信 对 象 的 不 确定 性 和 
抗 破译 能 力 。 

1) 通信 的 隐蔽 性 

要 从 通信 中 获得 信息 首先 必须 明确 是 否 正在 进行 通信 ,如 果 不 知 是 否 正在 通信 ,当然 无 
法 窃取 通信 中 的 信息 。 

2) 通信 对 象 的 不 确定 性 

窃 密 者 虽然 知道 正在 进行 通信 ,但 根本 无 法 知道 通信 的 双方 是 谁 , 这 在 技术 上 称 为 对 抗 
业务 流 分 析 。 

3) 抗 破译 能 力 

虽然 窃 密 者 获得 了 通信 信息 ,但 是 由 于 信息 已 被 加 密 , 窃 密 者 不 能 破译 信息 的 内 容 。 

上 述 三 种 要 求 中 ,最 基本 的 是 抗 破译 性 ,其 次 是 通信 对 象 的 不 确定 性 ,最 后 才 是 通信 的 

2. 保密 通信 的 实时 性 要 求 

保密 通信 可 能 会 影响 到 通信 的 实时 性 ,保密 通信 的 实时 性 要 求 就 是 要 把 这 个 影响 减少 
到 最 低 的 程度 ,使 传送 的 延迟 时 间 越 短 越 好 。 

例如 对 于 实时 性 要 求 很 强 的 电话 业务 ,如 果 保 密 电 话 时 延 较 大 ,一 方 的 讲话 过 很 久 才 传 
到 对 方 ,就 违反 了 正常 电话 通信 的 方式 ,没有 人 会 愿意 使 用 。 

又 如 活动 图 像 通信 ,如 果 本 来 连续 的 画面 ,由 于 时 延 大 ,画面 变 得 不 连贯 ,即使 保密 性 很 
好 ,也 不 能 满足 活动 图 像 通 信 的 要 求 。 

3. 保密 通信 的 可 用 性 要 求 

可 用 性 指 合法 使 用 者 能 方便 迅速 地 使 用 保密 通信 系统 ,满足 使 用 者 要 求 的 各 种 服务 。 

例如 保密 电话 ,合法 使 用 者 随时 拿 起 话 简 即 可 通话 ,不 能 使 接 通 率 下 降 , 不 能 让 使 用 者 
过 多 的 等 待 或 进行 过 多 的 操作 。 
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4. 保密 通信 的 可 控 性 要 求 
可 控 性 要 求 指 某 些 保密 通信 经 过 一 定 的 法 律 法 规 批准 后 ,可 以 由 法 律 规定 部 门 监听 通信 
内 容 , 避 免 犯 罪 分 子 利用 保密 通信 进行 犯罪 活动 ,保护 国家 利益 和 人 民利 益 , 保 证 社会 的 安定 。 


3.2 数据 保密 通信 


数据 通信 和 是 把 数据 的 处 理 和 传输 合 为 一 体 ,以 实现 数字 形式 信息 的 接收 ,存储 、 处 理 和 
传输 ,并 对 信息 流 加 以 控制 、 校 验 和 管理 的 一 种 通信 形式 。 

数据 通信 与 电话 、 电 报 通信 方式 的 区 别 是 : 电话 传送 的 是 话音 ,电报 传送 的 是 文字 或 传 
真 图 像 ,而 数据 通信 传送 的 是 数据 , 即 由 一 系列 字母 ,数字 和 符号 所 表示 的 概念 .命令 等 。 在 
电话 和 电报 通信 中 ,通信 双方 都 是 人 ,而 数据 通信 和 则 是 操作 员 使 用 终端 设备 ,通过 线路 与 远 
端的 计算 机 ,或 计算 机 之 间 交 换 信息 ,其 本 质 是 机 器 之 间 的 通信 。 

数据 通信 的 加 密 可 以 通过 下 列 方式 实现 : 在 数据 传送 前 ,对 和 欲 传 送 的 信息 进行 加 密 或 
隐藏 处 理 ; 在 数据 传送 过 程 中 ,对 传输 信道 和 传输 设备 中 传送 的 信息 采用 逐 链 加 密 、 端 端 加 
密 或 混合 方式 加 密 。 


3.2.1 网 络 通信 保密 技术 


现代 通信 中 数据 通信 大 多 呈现 网 络 通信 ,网 络 通信 保密 技术 是 指 根据 网 络 的 构成 和 通 
信 的 特点 ,根据 应 用 环境 的 不 同 要 求 , 将 密码 术 加 到 计算 机 网 络 上 的 技术 。 其 基本 的 保密 技 
术 就 是 加 密 , 加 密 的 方法 包括 : 逐 链 加 密 、 端 端 加 密 和 混合 方式 加 密 。 

1. 逐 链 加 密 

逐 链 加 密 在 OSI 的 数据 链 路 层 实现 。 在 数据 传输 的 每 一 个 结 点 上 ,对 数据 报 文正 文 、 路 由 
信息 、 校 验 和 等 控制 信息 全 部 加 密 , 每 一 个 结 点 都 必须 有 密码 装置 ,以 便 解密 、 加 密 报 文 。 

当 数 据 报 文 传输 到 某 个 中 间 结 点 时 ,必须 被 解密 以 获得 路 由 信息 和 校 验 和 ,进行 路 由 选 
择 和 差错 检测 ,然后 再 被 加 密 ,发 送 到 下 一 个 结 点 ,直到 数据 报 文 到 达 目 的 结 点 为 止 。 

在 中 间 结 点 上 的 数据 报 文 是 以 明文 出 现 的 ,所 以 要 求 网 络 中 的 每 一 个 中 间 结 点 都 要 配 
置 安全 单元 ( 即 信道 加 密 机 ) 。 

由 于 报 文 和 报头 同时 进行 加 密 , 有 利于 对 抗 业务 流量 分 析 。 

2. 端 端 加 密 

数据 在 发 送 端 被 加 密 ,在 最 终 目的 地 (接收 端 ) 解 密 , 中 间 结 点 不 以 明文 的 形式 出 现 。 

端 端 加 密 是 在 应 用 层 完 成 的 。 除 报头 外 的 报 文 , 均 以 密 文 形式 贯穿 于 全 部 传输 过 程 中 。 
只 是 在 发 送 端 和 接收 端 才 有 加 、 解 密 设备 ,在 任何 中 间 结 点 报 文 均 不 解密 ,因此 ,不 需要 有 密 
码 设备 。 同 逐 链 加 密 相 比 ,可 减少 密码 设备 的 数量 。 

男 一 方面 ,信息 是 由 报头 和 报 文 组 成 的 , 报 文 是 要 传送 的 信息 ,报头 是 路 由 选择 信息 。 
于 网 络 传输 中 涉及 路 由 的 选择 ,在 逐 链 加 密 时 , 报 文 和 报头 两 者 均 须 加 密 。 而 在 端 端 加 密 
MY ,由 于 通道 上 的 每 一 个 中 间 结 点 虽 不 对 报 文 解密 ,但 为 将 报 文 传送 到 目的 地 ,必须 检查 路 
由 选择 信息 ,因此 ,只 能 加 密 报 文 , 而 不 能 对 报头 加 密 。 


mo 
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端 端 方式 对 整个 网 络 系统 采取 保护 措施 ,解决 了 在 结 点 中 数据 是 明文 的 缺点 ,但 报头 必 
定 以 明文 形式 出 现 ,容易 遭受 业务 流量 分 析 。 

3. 混合 方式 加 密 

采用 逐 链 加 密 方式 ,从 起 点 到 终点 ,要 经 过 许多 中 间 结 点 ,在 每 个 结 点 均 要 转换 为 明文 ， 
如 果 链 路 上 的 某 个 结 点 安全 防护 比较 薄弱 ,那么 按照 木 桶 原理 ( 木 桶 水 量 是 由 最 低 一 块 木板 
决定 ) ,虽然 采取 了 加 密 措施 ,但 整个 链 路 的 安全 只 相当 于 最 薄弱 结 点 处 的 安全 状况 。 

采用 端 端 加 密 方式 ,由 发 送 方 加 密 报 文 ,接收 方 解 密 报 文 , 中 间 结 点 不 必 加 、 解 密 , 也 就 
不 需要 密码 装置 。 此 外 ,加 密 可 采用 软件 实现 ,使 用 起 来 很 方便 。 在 端 端 加 密 方式 下 ,每 对 
用 户 之 间 都 存在 一 条 虚拟 的 保密 信道 ,每 对 用 户 共享 密 钥 ,所 需 的 密 钥 总 数 等 于 用 户 对 的 数 
目 。 对 于 几 个 用 户 , 若 两 两 通信 , 共 需 密 钥 n(n 一 1)/2 个 ,每 个 用 户 需 n 一 1 个 密 钥 。 这 个 数 
目 将 随 网 上 通信 用 户 的 增加 而 增加 。 为 安全 起 见 , 每 隔 一 段 时 间 还 要 更 换 密 钥 , 有 时 其 至 只 
能 使 用 一 次 性 密 钥 , 密 钥 的 用 量 很 大 。 

逐 链 加 密 , 每 条 物理 链 路 上 ,不 管用 户 多 少 ,可 使 用 一 种 密 钥 。 在 极端 情况 下 ,每 个 结 点 
都 与 男 外 一 个 单独 的 结 点 相连 , 密 钥 的 数目 也 只 是 n(n 一 1)/2 个 。 这 里 n 是 结 点 数 而 非 用 
户 数 ,一 个 结 点 一 般 有 多 个 用 户 。 

从 身份 认证 角度 看 , 逐 链 加 密 只 能 认证 结 点 ,而 不 是 用 户 。 使 用 结 点 A 密 钥 的 报 文 , 仅 
仅 保 证 它 来 自 结 点 A。 报 文 可 能 来 自 A 的 任何 用 户 , 也 可 能 来 自 另 一 个 路 过 结 点 A 的 用 
户 。 因 此 逐 链 加 密 不 能 提供 用 户 鉴别 。 端 端 加 密 对 用 户 是 可 见 的 ,可 以 看 到 加 密 后 的 结果 ， 
起 点 ,终点 很 明确 ,可 以 进行 用 户 认证 。 

总 之 , 逐 链 加 密 对 用 户 来 说 比较 容易 ,使 用 的 密 钥 较 少 ,而 端 端 加 密 比较 灵活 ,用 户 可 
见 。 将 两 种 加 密 方式 结合 起 来 ,对 于 报头 采用 逐 链 方式 进行 加 密 , 对 于 报 文采 用 端 端 方式 加 
密 , 称 为 混合 方式 加 密 。 


3.2.2 信息 隐藏 技术 


信息 隐藏 起 源 于 古老 的 隐 写 术 。 在 古 希 腊 战 争 中 ,为 了 安全 传送 军事 情报 ,奴隶 主 剃 光 
奴隶 的 头发 ,将 情报 纹 在 奴隶 的 头皮 上 , 待 头发 长 长 后 再 派出 去 传送 消息 。 我 国 古 代 也 早 有 
以 藏 头 诗 、 藏 尾 诗 、 漏 格 诗 以 及 绘画 等 形式 ,将 要 表达 的 意思 和 "密语 ”隐藏 在 诗 文 或 画卷 中 
的 特定 位 置 ,一 般 人 只 注意 诗 或 画 的 表面 意境 ,而 不 会 去 注意 或 破解 隐藏 其 中 的 密语 。 

使 用 加 密 技 术 对 信息 进行 加 密 , 使 得 在 信息 传递 过 程 中 的 非法 拦截 者 无 法 从 中 获取 机 
密 信息 ,从 而 达到 保密 的 目的 。 但 这 种 方法 有 一 个 明显 的 不 足 : 加 密 技 术 把 一 段 有 意义 的 
明文 信息 转换 成 看 起 来 没有 意义 的 密 文 信息 , 它 明确 提示 攻击 者 哪些 是 重要 的 信息 ,容易 引 
起 攻击 者 的 注意 ,从 根本 上 造成 了 一 种 不 安全 。 即 使 攻击 者 破译 失败 ,也 可 将 信息 破坏 ,使 
合法 接收 者 无 法 阅读 信息 内 容 。 

信息 隐藏 技术 正 是 在 上 述 背 景 下 发 展 起 来 的 , 它 将 机 密 信息 秘密 隐藏 于 普通 文件 中 , 然 
后 通过 网 络 发 送出 去 。 非 法 拦截 者 从 网 络 上 拦截 下 的 经 伪装 后 的 机 密 资 料 , 并 不 像 传统 加 
密 过 的 文件 那样 是 一 堆 乱 码 ,而 是 看 起 来 和 其 他 非 机 密 性 的 一 般 资料 无 异 ,因而 容易 欺骗 非 
法 拦截 者 。 

信息 隐藏 技术 作为 一 种 新 兴 的 信息 安全 技术 已 经 在 许多 应 用 领域 被 使 用 , 它 主 要 的 两 
个 分 支 为 隐秘 术 和 数字 水 印 ,应 用 于 Internet 传输 秘密 信息 时 ,被 称 为 隐秘 术 ; 应 用 于 版 权 
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保护 时 ,被 称 为 数字 水 印 技术 。 

信息 隐藏 的 目的 不 是 限制 正常 的 信息 存 取 , 而 是 保证 隐藏 的 信息 不 引起 攻击 者 的 注意 
和 重视 ,从 而 减少 被 侵犯 的 可 能 性 ,在 此 基础 上 再 使 用 密码 学 中 的 经 典 方法 来 加 强 隐藏 信息 
的 安全 性 。 

信息 隐藏 的 方法 是 利用 人 类 感觉 器 官 的 不 敏感 (感觉 元 余 ) 和 多 媒体 数据 中 存在 的 宛 余 
(数据 特性 元 余 ) ,将 受 保护 信息 隐藏 在 载体 信息 中 ,对 外 只 表现 载体 信息 的 外 部 特征 ,而 不 
改变 载体 信息 的 基本 特征 和 使 用 价值 。 

替换 系统 是 最 常用 的 隐藏 系统 。 基 本 的 替换 系统 试图 用 秘密 信息 比特 替换 伪装 载体 中 
不 重要 的 部 分 ,以 达到 对 秘密 信息 进行 编码 的 目的 。 如 果 接 收 者 知道 秘密 信息 嵌入 的 位 置 ， 
他 就 能 提取 出 秘密 信息 。 由 于 在 嵌入 过 程 中 仅 对 不 重要 的 部 分 进行 修改 ,发 送 者 可 以 假定 
这 种 修改 不 会 引起 攻击 者 的 注意 。 

1. 基于 文本 的 信息 隐藏 

在 文本 数据 中 隐藏 秘密 信息 的 方法 可 以 是 将 信息 直接 编码 到 文本 内 容 中 (利用 语言 的 
自然 元 余 性 ) ,或 者 将 信息 直接 编码 到 文本 格式 中 (如 调整 字 间 距 或 行 间距 等 ) 。 

【 例 3-1】 使 用 ByteShelter I 实现 将 秘密 信息 隐藏 在 rich text 文本 中 。 

(1) 运行 ByteShelter 1 软件 ,界面 如 图 3-1 所 示 。 

(2) 运行 兼容 RTF(Rich Text Format) 文 本 格式 的 软件 ,如 Word, 在 其 中 输入 任何 文 
字 , 选 中 它们 后 复制 到 剪贴 板 。 

(3) 单 击 Load from clipboard 按钮 ,出 现 如 图 3-2 所 示 的 Password 对 话 框 。 


ByteShelter I - Filthy Rich Text EJ 


Data carrier (Rich Text) 


Cloaked data (empty) 


ale å Please enter your password: 

Sg (No RTF clipboard data loaded. Please copy some Rich Text | —————— 

es Formatted text to the clipboard and click ‘load from clipboard’) I 

c 

rary This password will be used for data 
= 8 encryptionj/decryption. Enter an 
29 empty password if you prefer not to 
Le Use encryption, 

rs | BC I passwords must be 4-15 

£2: characters long. 

gz his steganography tool lets you add hidden data to rich text fragments. coe aie eu eee t 3 A 

ne u the clipboard, click ‘load from clipboard, define your extra data, click 'save to clipboard’ and For more information, visit: 

2 E finally paste the updated clipboard contents back into your rich text editor. http://www mazzoft ,com/bs1 

a 


Ww 


3-1 ByteShelter 1 软件 运行 界面 图 3-2 Password 对 话 框 


(4) 输入 密码 , 单 击 OK 按钮 ,显示 从 剪贴 板 中 粘贴 的 文字 的 字符 数 ,如 图 3-3 所 示 。 
(5) 在 Message 文本 框 中 输入 要 隐藏 的 文本 ,注意 输入 的 文本 不 能 超出 Total cloaking 
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ByteShelter I — Filthy Bich Text [Ed 


Data carrier (Rich Text) 

Number of characters: 119 iA 
otal cloaking space: approx. 65 byte(s) 

posing specs lot 0 byte(s] 

Text fragment: After having ...... clipboard [chC] 
Load from clipboard 


Cloaked data (65 bytes available space left) 


M ] 

š | 
22 | 
as 3 
eN Attachments 
£8 
Ss 
fra 
zs | 
ze 
ag Add 
go 
DE | This steganography tool lets you rs hiilen dota to rich tent framers, Copy or cut you ich et 
@ © | to the clpboerd cick Toad fom eipboord. defina you estra data, chck save to cipboad 
2E fnaly paste the updated cipboard conteris back no your ich 


W 


Dose 


3-3 显示 粘贴 的 字符 数 


space 中 显示 的 长 度 。 完 成 后 单 击 Save to clipboard 按钮 ,软件 将 要 输入 的 信息 隐藏 在 前 面 
Word 中 输入 的 文字 中 ,并 复制 到 剪贴 板 中 。 
(6) 退出 ByteShelter 1 软件。 新 建 Word 文件 ,粘贴 剪贴 板 中 的 内 容 , 保 存 该 Word 文件 。 
CT) 要 显示 隐藏 信息 , 则 打开 该 Word 文件 ,复制 文本 内 容 到 剪贴 板 。 运 行 ByteShelter 
I 软 件 , 单 击 Load from clipboard 按钮 ,出 现 Password 对 话 框 ,输入 正确 的 密码 ,在 
Message 文本 框 中 自动 显示 隐藏 的 信息 ,如 图 3-4 所 示 。 


ByteShelter I - Filthy Bich Text E 


Data carier (Rich Text) 


Number of characters: 123 

Total cloaking space: approx. 65 bytels] 

Cloaking space 21 byte(s 

Primary compatibility test Passed 

Test fragment Alter having ..... clipboard [chtC} 

Load from clipboard 

Cloaked data (60 bytes available space let) 

Message _ = 

hello ] 

š | 
i} | 

gz | 
3s 
ea Attachments: 
cs 
号 三 
zs 
28 | 
ES 
Ts ‘Add 
E 
2 This steganography to lets you add hidden data to ich tet fragments. Cony or cit your ch tert 
5S the clipboard, cick ‘oad fiom clipboard, define your extra data, cick ‘save to cipboard' and 
ge Hy coats ta eler rabe pare ba tok ke 
ao 


ĘQ 


图 3-4 显示 隐藏 的 文本 内 容 
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2. 基于 图 像 的 信息 隐藏 

图 像 和 数字 声音 天 然 地 包含 各 种 噪声 形式 的 宛 余 , 可 以 将 秘密 信息 放置 在 信号 的 噪声 成 
分 中 ,通过 对 秘密 信息 进行 某 种 方式 的 编码 ,使 它 与 真正 的 随机 噪声 不 可 区 分 ,以 实现 信息 隐藏 。 

【 例 3-2] 使 用 Easycode 将 文本 文件 test. txt HEA FI test. jpg 文件 中 。 

Q) 运行 Easycode, 单 击 “ 文 件 谋 入 ?选项 卡 。 

(2) 查看 并 记 下 test. jpg 和 test. txt 文件 的 内 容 。 

(3) 分 别 单 击 右 上 角 的 “浏览 ”按钮 ,选择 寄主 文件 test. jpg 和 寄生 文件 test. txt, 在 下 
方 的 “密码 ”文本 框 和 “确认 ”文本 框 中 输入 密码 ,选中 “插入 文件 后 删除 寄生 文件 ” 复 选 框 ,如 
图 3-5 所 示 。 


ESy OO 3 Boy boot 受 5 四 
z + 一 一 安全 保护 县 佳 解决 方案 
分 » 3 


D: \teacher \HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch3\test. JPG & 浏览 


选择 想 要 嵌入 的 文件 ( 这 个 文件 加 密 后 被 嵌入 寄主 中 隐 舍 起 来 》: 
D: \teacher WEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch3\test txt CELI 
密码 : pe | 确认 : e 回 工 入 文件 后 朋 除 寄生 文件 Beart 
请 选择 要 释放 寄生 文件 的 寄主 文件 5 奇 主义 件 入 发 
& we 
寄生 文件 保存 的 目录 ( SEMRFASENLHMEAR. FOWARTREREM d : 
EELA 
输入 释放 密码 : Ose | 杰克 文件 


图 3-5 将 文本 文件 嵌入 到 jpg 文件 中 


(4) 单 击 * 谍 入 文件 ”按钮 ,出 现 如 图 3-6 所 示 的 对 话 框 ,表示 test. txt 文件 已 被 嵌入 到 
test. jpg 中 。 再 查看 test. txt 文件 ,发 现 已 被 删除 。 
(5) 分 别 查看 嵌 和 人 文本 文件 前 后 的 .jpg 文件 ,如 图 3-7 所 示 , 可 以 看 到 文件 内 容 没 有 发 


生变 化 。 


(a) 嵌入 前 (b) AT 
图 3-6 RAK 图 3-7 嵌入 前 后 jpg 文件 的 比较 


[B] 3-3] 使 用 Easycode 释放 test. jpg 文件 中 的 寄生 文件 test. txt. 

(1) 运行 Easycode, 单 击 “ 文 件 嵌 入 ?选项 卡 。 

(2) 单 击 右 下 角 的 “浏览 ”按钮 ,选择 寄主 文件 test. jpg, 在 下 方 的 “输入 释放 密码 ”文本 
框 中 输入 密码 ,选中 “释放 后 恢复 寄主 文件 初始 状态 ” 复 选 框 ,如 图 3-8 所 示 。 

G) 单 击 “ 释 放 文 件 ?按钮 ,释放 成 功 后 ,显示 如 图 3-9 所 示 的 对 话 框 。 

(4) 打开 test. txt 文件 ,其 内 容 与 原来 一 致 。 
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Box Pht 受 5 目 
A 一 一 安全 保护 最 佳 解决 方案 


Ea | ENE 


WEE HASTEN RTL oe 

oe ie 
ERBERA IU CRT RAMERRRA SE PRE) : 

Sis 
£B: 确认 : 凡 入 文件 后 删除 寄生 文件 BeAr 
MEFRARSEV SEV FE 
D:\teacher \HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch3\test. JPG CAE 
寄生 文件 保存 的 目录 ( 留 空 则 保存 到 寄主 文件 所 在 目录 ,手动 输入 请 不 要 在 末尾 加 \): 

加 浏览 | 
输入 释放 密码 : eee 释放 后 饮 复 寄主 文件 初始 状 坟 | 名 释放 文 件 | | 

图 3-8 释放 文件 


3. 基于 声音 的 信息 隐藏 
由 于 人 类 的 听觉 系统 对 声音 的 相位 不 敏感 ,因此 可 以 Í) ere 
根据 这 个 事实 将 秘密 数据 隐藏 在 数字 声音 中 。 通 常 的 做 法 aa 
是 对 音频 信号 进行 快速 传 里 叶 变 换 , 通 过 修改 相位 值 以 插 
入 秘密 信息 ,将 结果 反 变 换 到 时 域 上 即 可 得 到 伪装 结果 。 图 3-9 释放 成 功 
【 例 3-4】 使 用 MP3Stego 将 WAV 文件 压缩 成 MP3 
的 过 程 中 隐藏 文本 文件 。 
(1) 在 命令 行 方式 下 执行 如 下 命令 : 


encode -E hidden_text. txt — P pass svega. wav svega_stego. mp3 
(2) 压缩 svega. wav 的 过 程 如 图 3-10 所 示 , 压 缩 成 功 后 将 hidden_text. txt 文件 隐藏 在 
svega_stego. mp3 文件 中 。 
indows\syste: 


IC:\>encode -E hidden_text.txt -P pass svega.wav svega_stego.mp3 
IMP3StegoEncoder 1.1.17 
See README file for copyright info 
Microsoft RIFF, WAVE audio, PCM, mono 4410@Hz 16bit. Length: @: 0:20 
INPEG-I layer III. mono Psychoacoustic Model: AT&T 

none CRC: off 


“svega_stego-mp3" 


图 3-10 压缩 声音 文件 时 隐藏 文本 文件 

(3) 要 从 Svega_stego. mp3 文件 中 释放 隐藏 的 文本 文件 ,执行 命令 : 

decode -X -P pass svega_stego. mp3 

(4) 释放 过 程 如 图 3-11 所 示 , 释 放出 的 文本 文件 名 为 svega_stego. mp3. txt, AAH 
hidden_text. txt 完全 相同 。 

4. 基于 可 执行 文件 的 信息 隐藏 

可 执行 文件 中 也 包含 大 量 抑 余 信 息 , 可 以 通过 安排 独立 的 一 串 指令 或 者 选择 一 个 指令 子 
集 来 隐藏 数据 。 代 码 迷 乱 技术 正 是 一 种 用 于 在 可 执行 文件 中 隐藏 信息 的 技术 ,该 技术 通过 把 
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indows\system32\cad.exe 


ce decode -8 -P pass svega_stego-mp3 


* output file = *svega_stego-mp3.pcn’ 
hidden information. Output: svega_stego-mp3.txt 
ja_stego-mp3 A = BINARY file 
了， br 


pd-1, pr-@, n=3. js~@, c~8, 0-8. e-B 


[Frame 791]Avg slots/frane = ae = 2.98; br = 127.839 kbps 
[Decoding of “svega_stego.mp3" is finished 
the decoded PCM output file name is “svega_stego.mp3.pcr" 


:> 


3-11 将 隐藏 的 文本 文件 从 MP3 中 释放 
-个 程序 P 变换 成 一 个 功能 等 价 的 程序 P' ,实现 将 秘密 信息 隐藏 在 所 用 的 变换 序列 中 。 

5. 隐藏 信息 的 检测 

信息 隐藏 技术 的 发 展 也 带 来 了 一 定 的 负面 效果 , 据 美 国 媒体 透露 ,已 经 发 现 铠 怖 组 织 利 
用 隐藏 在 图 像 中 的 信息 传递 联络 情报 ,甚至 将 计算 机 病毒 隐藏 在 载体 图 像 中 进行 传输 ,这 些 
都 对 国家 安全 和 社会 稳定 产生 了 很 大 的 威胁 。 因 此 ,研究 对 图 像 中 可 能 存在 的 各 种 隐藏 信 
息 进 行 有 效 检测 的 方法 已 经 迫在眉睫 ,基于 图 像 的 信息 隐藏 检测 技术 也 就 成 为 目前 信息 安 
全 领域 的 重要 研究 课题 。 

近 几 年 来 ,世界 各 国 的 信息 安全 专家 在 这 一 方面 进行 了 深入 的 研究 ,并 建立 了 隐藏 信息 
检测 模型 ,开发 了 相关 的 信息 隐藏 检测 软件 ,如 美国 著名 的 信息 安全 产品 开发 公司 
Wetstone 开发 的 信息 隐藏 检测 软件 Stego Suite 套件 。 其 中 ,Stego Watch 是 fea a 
自动 扫描 软件 ,基本 包括 了 所 有 常见 图 像 格式 和 WAV 声音 格式 文件 的 检测 能 力 ; Stego 
Analyst 是 一 款 图 像 分 析 处 理工 具 , 针 对 Stego Watch 发 现 的 可 疑 图像 , 从 视觉 上 ” 行 细微 
分 析 ; Stego Break 是 一 套 隐 藏 信息 破解 软件 ,以 字典 攻击 的 方式 破解 出 一 些 最 常用 的 隐藏 
信息 工具 埋藏 于 图 片 中 的 信息 ,支持 对 JP Hide & Seek, F5,JSteg, Camouflage 等 信息 隐藏 
软件 的 破解 。 

图 3-12 所 示 的 StegDetect 是 一 款 免费 的 隐藏 检测 软件 ,通过 统计 测试 方法 检测 JPEG 
图 像 中 是 否 被 隐 写 ,以 及 可 能 使 用 了 何 种 隐 写 软件 。 


F xsteg 


File Options Help 
‘Scan options 
tor 


F jsteg Sensitivity: [1.00 > 
F jphide 
F outguess 


F invisible 


Filename Detection 


所 
Message window: 


图 3-12 免费 的 检测 软件 StegDetect 
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3.3 语音 保密 通信 


语言 交流 是 最 基本 、 最 方便 的 通信 方式 。 早 期 无 线 电 语音 通信 使 用 的 防 泄密 手段 主要 
是 密语 。 为 了 实现 密语 通话 ,需要 事先 把 可 能 用 到 的 词汇 编写 成 密语 本 ,由 话务员 熟练 记 
忆 , 正 式 通 信 时 现场 翻译 。 密 语 通信 使 用 方便 ,实时 性 强 , 但 密语 中 多 少 总 要 保留 一 些 自然 
语言 的 结构 ,仔细 分 析 便 能 猜 出 其 中 的 意思 ,所 以 只 能 用 在 保密 时 效 得、 保密 等 级 低 的 场合 。 

人 的 原始 语音 信号 是 一 种 模拟 信号 。 受 技术 条 件 的 限制 ,早期 的 保密 电话 和 电台 语音 
加 密 都 直接 针对 模拟 信号 ,通过 改变 语音 信号 的 时 间 、 频 率 、 幅 度 特征 使 原来 的 话 听 不 懂 。 
例如 把 语音 的 频谱 划分 成 若干 个 子 带 , 重 新 排列 它们 的 次 序 以 达到 置 乱 的 效果 。 这 种 模拟 
加 密 体制 的 音质 差 ,保密 强度 低 , 用 专门 的 分 析 仪 器 可 以 破译 ,甚至 经 过 特殊 训练 的 话务员 
还 能 直接 听 懂 部 分 模拟 加 密 后 的 语音 。 

随 着 将 模拟 信号 转换 成 数字 信号 再 加 密 的 新 技术 的 出 现 , 语 音 加 密 的 音质 、 强 度 、 实 用 
性 都 大 为 改观 。20 世纪 50 年 代 苏 联 研制 的 声 码 器 保密 电话 ,是 一 台 用 了 大 量 电 子 管 、 代 价 
昂贵 的 庞然大物 ,如 今 装 在 移动 电话 里 的 同样 的 保密 机 只 用 了 一 个 小 芯片 。 

随 着 通信 手段 的 丰富 与 发 展 , 特 别 是 无 线 信道 的 大 量 使 用 ,在 通信 过 程 中 ,收发 双方 交 
换 的 敏感 信息 被 第 三 者 感知 的 可 能 性 大 大 增加 。 针 对 敌 方 可 能 采用 的 截 收 、 窃 听 、 破 译 、 假 
冒 、 侦 听 、 测 向 等 手段 , 跳 频 技术 、 扩 频 技术 的 应 用 成 为 无 线 电 通 信 防 泄密 的 重要 方向 。 当 频 
带宽 度 扩展 了 数 倍 至 数 千 倍 后 ,信息 将 淹没 在 一 片 噪声 中 ,从 而 实现 以 隐蔽 方式 对 抗 无 线 电 
侦 听 和 干扰 。 

与 过 去 相 比 ,现在 通信 保密 的 技术 .手段 .措施 .应 用 环境 和 使 用 要 求 都 发 生 了 很 大 的 变 
化 : 从 过 去 单一 的 电报 加 密 发 展 到 电话 传真. 图 像 ,电视 会 议 等 多 种 媒体 加 密 ; 从 单一 的 
无 线 电 加 密 发 展 到 有 线 无线. 卫星、 微波 .散射 等 多 种 信道 加 密 ; 从 原始 的 手工 密码 发 展 到 
采用 机 械 设备 .电子 设备 ,计算 机 进行 加 密 作业 ; 从 点 对 点 保密 通信 发 展 到 网 络 化 保密 通 
信 , 并 出 现 了 通信 保密 技术 与 信息 安全 技术 相 融 合 的 一 体 化 趋势 。 


3.3.1 窃听 与 反 窃听 


窃听 是 指使 用 专用 设备 直接 窃取 目标 的 话音 、 图 像 等 信息 ,从 中 获得 情报 的 一 种 手段 。 
随 着 科学 技术 的 不 断 发 展 ,窃听 的 含义 早已 超出 隔 墙 偷 听 、 截 听 电 话 等 , 它 借助 于 技术 设备 
和 手段 ,不 仅 窃取 语音 信息 ,还 窃取 数据 、 文 字 、 图 像 等 信息 。 

窃听 技术 是 窃听 行动 所 使 用 的 窃听 设备 和 窃听 方法 的 总 称 , 它 包括 窃听 器 材 ,窃听 信和 号 
的 传输 、 保 密 、 处 理 , 窃 听 器 的 安装 、 使 用 以 及 与 窃听 相配 合 的 信号 截 收 等 。 

反 窃 听 技 术 是 指 发 现 , 查 出 窃听 器 并 消除 窃听 行动 的 技术 。 

防 窃听 则 是 对 抗 敌 方 窃听 活动 ,保护 己方 秘密 的 行为 和 技术 手段 。 在 可 能 被 窃听 的 情 
况 下 ,使 窃听 者 得 不 到 秘密 信息 的 防范 措施 。 

窃听 技术 的 内 涵 非 常 广 泛 , 特 别 是 高 档次 的 窃听 设备 或 较 大 的 窃听 系统 ,包括 了 诸如 信 
号 的 隐蔽 和 加 密 技 术 、 信 号 调 制 与 解 调 技术 网络 技 术 、 信 号 处 理 .语言 识别 、. 微 电子 、 光 电子 
技术 等 现代 科学 技术 的 很 多 领域 。 
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UFR A oT BEDARRE. EE AN E AY FE A EEH 
XT AYR BH TEAR. 

1. 声音 窃听 一 一 直接 窃听 法 

声音 窃听 是 一 种 古老 的 方法 , 它 直接 拾取 从 空气 中 传 来 的 声波 从 而 获得 谈话 内 容 。 直 
接 窃 听 法 包括 专线 话 简 窃 听 和 无 线 窃听 ,间接 窃听 法 包括 口 型 分 析 法 ` 激 光 窃 听 法 和 微波 窃 
听 法 。 

D 专线 话 简 窃 听 

随 着 现代 声音 窃听 技术 的 发 展 ,出 现 了 许多 类 似 人 耳 功 能 的 “ 电 耳 人 条 ”。 它 们 有 的 像 黄 
豆 粒 或 针尖 那么 小 ,有 的 做 成 和 电源 插座 一 样 , 拾 音 范围 都 在 10m 以 上 , 连 写 字 的 声音 都 能 
听 得 一 清二 楚 。 把 它们 埋设 在 墙壁 里 或 房间 内 ,然后 用 一 对 导线 将 信号 引出 ,窃听 者 就 能 听 
到 室内 的 谈话 ,也 可 以 用 录音 机 记录 。 这 种 窃听 方式 叫做 专线 话筒 窃听 。 

“ 电 耳 条? 的 埋设 方式 要 巧妙 隐藏 : 有 的 窃听 话 简 被 安装 在 墙 面 的 自然 裂缝 里 ; 有 的 把 
连接 话 简 与 放大 器 或 录音 机 的 金属 导线 沿 着 建筑 物 的 钢 骨 架 或 其 他 金属 管道 敷设 ,在 容易 
被 肉眼 察觉 的 地 方 则 使 用 导电 油漆 代替 导线 。 

由 于 专线 话 简 窃 听 系统 隐蔽 、. 耐 用、 效果 好 ,间谍 把 它 作为 窃听 的 主要 工具 。 据 美国 反 
间谍 机 关 的 档案 记载 ,1960 年 以 前 ,在 美国 驻 苏 联 的 大 使 馆 内 查获 了 130 多 个 窃听 器 。 
1964 年 春 ,美国 的 反 窃听 专家 又 在 大 使 馆 大 楼 的 内 墙 里 控 出 了 40 个 专线 话 简 。 原 来 ,1953 
年 苏联 政府 在 帮助 美国 大 使 馆 进行 大 楼 改建 时 ,就 把 这 个 专线 话 简 窃听 网 安装 了 进去 。 就 
这 样 ,美国 驻 苏 联 大 使 馆 在 毫 无 察觉 的 情况 下 ,向 苏联 克格勃 “义务 ”提供 了 10 年 的 情报 。 

对 付 专线 话 简 窃听 ,最 简单 的 办 法 就 是 用 肉眼 看 。 细 心 检查 墙 上 是 否 有 裂 颖 和 小 孔 A 
为 穷 听 话 简 都 要 靠 通 向 室内 的 洞 眼 拾取 声音 。 而 对 于 那些 隐藏 在 墙壁 深 处 的 金属 话 简 或 电 
源 线 ,可 以 用 金属 探测 器 进行 搜索 。1964 年 ,联邦 德国 反 窃 听 电 子 专家 赫 斯 特 。 舒 维尔 克 
曼 以 外 交 官 身份 到 达 联 邦 德 国 驻 莫斯科 大 使 馆 。 他 很 快 就 用 金属 探测 器 查 出 了 克格勃 所 埋 
设 的 专线 话 简 窃 听 网 。 

2) He GUT 

无 线 窃 听 器 体积 小 .重量 轻 , 不 需要 敷设 传输 导线 ,可 以 在 一 个 地 区 布设 若干 个 ,用 一 个 
接收 机 进行 接收 。 它 还 可 以 做 成 子弹 .炮弹 ,发 射 到 敌人 阵地 里 侦察 动向 。 正 因为 如 此 ,无 
线 窃 听 器 已 经 成 为 窃听 最 主要 的 工具 。 

随 着 微 电 子 技术 的 发 展 ,无线 窃 听 技 术 水 平 得 到 了 空前 提高 。 

首先 ,无线 窃 听 器 体积 的 微型 化 程度 越 来 越 高 。 有 的 无 线 窃 听 器 仅 一 粒 米 大 小 ,伪装 起 
来 也 更 加 巧妙 , 穷 听 器 可 以 隐藏 在 钢笔 .手表 .打火机 、 鞋 跟 中 ,甚至 人 的 器 官 也 成 了 无 线 窃 
听 器 材 的 安装 场所 。 日 本 就 发 生 过 这 样 一 件 事 : 一 家 银行 为 窃取 某 公司 的 财务 情报 ,指使 
一 名 牙科 医生 利用 该 公司 会 计 师 镶 牙 的 机 会 ,把 一 个 微型 窃听 器 镶 在 他 的 假牙 中 ,结果 不 几 
天 工夫 ,这 家 银行 就 把 会 计 室 里 谈论 的 秘密 事项 全 部 截获 了 。 

其 次 ,窃听 器 的 自我 保护 功能 大 大 加 强 。 档 次 高 的 无 线 窃听 器 大 多 有 迁 控 功能 , 当 发 现 
有 人 检查 窃听 器 时 ,可 以 让 窃听 器 停止 工作 。 有 的 窃听 器 还 采取 了 加 密 措施 ,加 密 后 的 无 线 
电信 号 ,一 旦 被 搜索 到 也 只 是 一 片 噪声 或 交流 声 , 难 以 判断 是 否 是 无 线 窃 听 器 发 出 的 信号。 
有 的 还 把 无 线 窃 听 器 做 成 “枪弹 ”, 用 特制 的 枪械 射 到 目标 住所 的 窗 框 上 或 墙壁 上 ,窃听 器 有 
吸附 装置 ,可 以 牢固 地 吸附 在 物体 上 ,安装 方便 也 很 隐蔽 ,不 易 被 人 察觉 。 
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德国 PK 电子 器 材 公司 公开 出 售 的 一 种 微型 无 线 窃听 器 只 有 6g, 用 一 节 1. 5V 的 纽扣 
电池 可 连续 工作 12 小 时 。 它 的 体积 很 小 ,通过 如 图 3-13 所 示 的 便携 式 窃听 手枪 将 其 射 到 
房间 的 窗户 旁 ,使 其 牢固 贴 附 在 墙 上 ,可 以 把 窃听 到 的 谈话 声 用 无 线 电 波 发 送 到 200m 外 。 

下 面 是 两 个 无 线 窃听 的 例子 一 会 偷 听 的 “ 鸟 枪 ” 
和 土 跟 里 的 “间谍 ”。 

(1) 会 偷 听 的 * 鸟 枪 ”。 

在 某国 的 一 个 公园 内 ,游客 们 散步 、 骑 马 \. 划 船 , 尽 
情 享受 大 自然 的 恩赐 。 在 湖 边 的 灌木 从 中 ,一 支 乌 黑 
的 “ 鸟 枪 ” 架 在 三 脚 架 上 , 枪 口 始 终 瞄 着 湖 心 的 一 条 划 
艇 , 那 上 面 有 对 似乎 在 热恋 中 的 男女 正在 交谈 。 守 在 图 3-13 便携 式 窃听 手枪 
“ 鸟 枪 ” 旁 的 两 个 男子 则 聚精会神 地 戴 着 耳机 。 直 到 划 
艇 上 的 男女 上 了 岸 ,两 个 男子 才 收 起 * 鸟 枪 ” 悄 悄 离 去 。 原 来 ,他 们 是 该 国 反 间 谍 机 关 的 侦 
探 。 利 用 * 鸟 枪 ”, 他 们 偷 听 了 男女 间谍 在 划 艇 上 的 全 部 对 话 。 

这 里 的 * 鸟 枪 "是 一 种 * 追 捕 * 声 音 的 设备 一 一 远 距 离 定向 话 简 窍 听 器 。 借 助 这 种 窃听 
器 ,可 以 听 到 几 百 米 甚至 更 远 的 声音 。 它 的 工作 原理 和 扩 音 机 的 原理 差不多 ,只 是 其 话 简体 
积 要 小 得 多 、 灵 敏 度 要 高 得 多 。“ 岛 枪 枪 管 上 有 规律 地 开 有 许多 小 孔 , 当 声波 从 正 前 方 传 来 
时 ,经 过 小 孔 进入 枪 管 就 会 增强 ,而 当 其 他 声波 从 枪 管 两 侧 传 来 时 , 穿 过 小 孔 就 会 互相 抵消 。 
远 距离 定向 话 简 窃听 器 还 有 做 成 抛物 面 形 或 喇叭 形 的 ,主要 设立 在 两 国 对 峙 的 边界 线 或 军 
事 分 界线 上 。 

(2) 鞋 跟 里 的 “间谍 ”。 

一 天 早晨 ,某国 大 使 馆 的 保安 人 员 用 无 线 电 搜索 机 作 例 行 检查 时 ,突然 收 到 了 大 使 同 别 
人 的 谈话 声 。 根 据 电波 的 方向 ,保安 人 员 来 到 大 使 的 办 公 室 , 递 上 一 张 纸 条 :“ 请 您 走出 办 
公 室 并 继续 谈话 ,但 是 要 小 心 讲话 的 内 容 , 因 为 您 正在 被 窃听 .” 大 使 走出 办 公 室 ,但 搜索 机 
里 仍然 响 着 他 的 声音 。 这 说 明 窃听 器 就 在 大 使 身上 。 保 安 人 员 围 着 大 使 检查 了 好 和 久 ,直到 
最 后 脱 下 了 他 的 皮鞋 才 发 现 , 原 来 窃听 器 就 藏 在 大 使 的 皮鞋 后 跟 里 。 

大 使 皮鞋 里 的 窃听 器 是 一 种 无 线 窃听 器 。 它 所 窃取 的 声音 是 通过 无 线 电波 传送 到 窃听 
接收 机 的 。 在 无 线 窃听 器 里 ,除了 有 话 简 , 还 有 把 微弱 信号 功率 放大 的 电子 线路 以 及 发 射 天 
线 和 电池 。 

2. 声音 窃听 一 一 间接 窃听 法 

以 上 的 方法 都 是 直接 窃听 ,还 有 一 些 间接 窃听 的 方法 ,如 口 型 分 析 法 、 激 光 窃 听 法 和 微 
AMM. 

D 口 型 分 析 法 

在 有 些 场合 下 能 够 看 到 讲话 者 却 听 不 见 他 的 声音 ,这 时 就 可 以 用 带 有 长 焦距 的 摄像 机 
拍 下 讲话 者 的 口 型 和 手势 ,然后 用 口 型 分 析 法 “看 出 ”他 的 声音 。 事 实 上 ,许多 侮 哎 人 就 是 用 
这 种 方法 来 理解 别人 的 语言 内 容 。 对 于 一 个 长 期 接受 这 方面 训练 的 特工 来 说 ,同样 可 以 做 
到 。 有 时 几 个 特工 合作 ,甚至 能 把 讲话 内 容 一 字 不 差 地 还 原 出 来 ,他 们 被 称 为 层 读 间谍 "。 

2) 激光 窃听 法 

激光 窃听 法 则 是 利用 激光 发 生 器 产生 一 东 极 细 的 激光 , 射 到 被 窃听 房间 的 玻璃 上 。 当 
房 内 有 人 谈话 时 , 窗 玻璃 会 随 声波 发 生 轻 微 震动 ,而 玻璃 同时 又 能 对 激光 有 一 定 的 反射 效 
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应 。 如 果 用 一 东 激 光 发 射 到 玻璃 窗 上 ,室内 的 谈话 声 就 会 在 反射 回来 的 激光 中 反应 出 来 ,经 
过 激光 接收 器 的 接收 ,再 经 过 解 调 放大 ,就 能 将 室内 的 谈话 声音 录制 下 来 。 这 种 窃听 器 最 大 
的 优点 是 不 需要 在 目标 房 内 安装 任何 东西 ,作用 距离 可 达 300 一 500m。 图 3-14 SE HOE BUT 
系统 的 示意 图 。 

在 海湾 战争 中 ,美国 人 就 曾 使 用 了 激光 宠 听 
技术 ,从 伊拉克 高 级 将 领 座 车 的 反光 镜 上 ,窃听 
到 了 车 内 的 谈话 内 容 。 

3) 微波 窃听 法 

有 些 物 体 如 玻璃 .空心 钢管 等 被 制 成 一 定形 
状 后 , 既 能 对 说 话 的 声波 有 和 良好 的 振动 效果 ,又 
能 对 微波 有 良好 的 反射 效应 。 一 些 情 报 机 构 利 

图 3-14 激光 窃听 系统 用 物体 的 这 种 特性 ,进行 微波 窃听 。 如 果 把 这 种 

物体 巧妙 地 放 在 目标 房 内 ,在 一 定 距离 外 向 它们 

发 射 微波 ,这 些 物体 反射 回来 的 微波 中 就 会 包含 有 房 内 话音 的 成 分 ,用 微波 接收 机 接收 并 解 
调 后 ,就 能 获得 目标 在 房 内 讲话 的 内 容 。 

微波 窃听 法 的 原理 同 激光 窃听 法 比较 相似 ,但 微波 的 方向 性 不 如 激光 那样 强 , 它 的 反射 
波 在 一 定 区 域内 都 可 以 收 到 ,所 以 窃听 者 可 以 躲藏 在 被 窃听 房间 周围 的 许多 地 方 。1945 
年 ,莫斯科 向 美国 大 使 哈里 曼 赠送 了 一 件 珍贵 的 礼物 一 一 一 个 雕刻 非常 精致 的 美国 国徽 。 
哈里 曼 把 国徽 甚 挂 在 书房 里 ,他 总 是 习惯 在 这 里 和 人 密谈 。 哈 里 曼 并 不 知道 国徽 里 藏 了 一 
个 微波 反射 器 ,声波 会 激 起 它 的 振动 。 苏 联 特工 就 在 与 美国 使 馆 一 街 之 隔 的 房子 里 向 国徽 
发 射 比 较 强 的 微波 ,同时 用 一 个 灵敏 度 很 高 的 微波 接收 机 接收 反射 回来 的 微波 ,从 而 窗 听 美 
国 大 使 在 书房 里 的 谈话 。 这 个 秘密 活动 一 直到 1952 年 才 被 发 现 。 

3. 无 线 窃听 的 预防 

为 了 预防 无 线 窃 听 ,一 些 国家 的 重要 机 构 专门 采用 一 种 “笼子 "办公室 来 谈论 机 密 。 所 
谓 “ 笼 子 ”, 就 是 安装 在 房间 中 央 的 一 个 特制 的 小 房间 , 它 的 四 周 用 金属 网 屏蔽 ,地 板 用 绝缘 
体 隔 绝 ,照明 电 也 经 过 滤波 ,以 防止 电波 进入 或 泄 出 .“ 笼 子 ? 内 部 没有 任何 装饰 ,家 具 都 是 
透明 的 ,一 放 窃 听 器 就 露馅 。 

使 用 灵敏 度 较 高 的 无 线 电 全 波 侦 测 接收 机 能 检查 无 线 窃 听 ,包括 无 线 窃 听 报警 器 .无线 
窃听 器 探测 仪 PN 结 探测 器 。 

1) 无 线 穷 听 报 警 器 

超 小 型 无 线 窃听 报警 器 ,实质 是 一 种 袖珍 式 场 强 计 。 当 最 近 的 无 线 发 射 机 在 任何 频率 
上 工作 时 ,报警 器 发 出 闪光 信号 或 产生 轻微 的 震动 。 这 种 报警 器 体积 很 小 ,携带 方便 ,可 以 
伪装 在 各 种 日 常用 品 中 ,如 香烟 ,笔记 本 、 手 表笔 架 等 。 缺 点 是 任何 当地 无 线 电 台 的 电磁 场 
都 可 能 引起 它 的 报警 .容易 产生 虚报 。 

2) 无 线 窃听 器 探测 仪 (宽频 段 搜索 接收 器 ) 

这 种 接收 机 能 在 20k Hz~ 1000MHz 或 30MHz~ 1500MHz 范围 内 进行 全 频段 的 慢 速 
扫描 或 快速 扫描 ;有 的 接收 机 分 好 几 档 速度 供 挑选 。 设 定 速度 后 接收 机 自动 扫描 搜索 , 当 房 
内 有 工作 着 的 无 线 窍 听 器 时 ,接收 机 扫 到 与 窃听 器 工作 频率 相同 的 频率 ,报警 信号 灯亮 并 发 
出 报警 声 。 然 后 用 手持 探测 器 进行 寻找 , 当 探 测 器 接近 窃听 器 所 在 位 置 时 ,声调 发 生变 化 ， 
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表示 此 处 隐藏 有 窃听 器 。 这 种 探测 器 通常 装 在 一 个 标准 的 手提 箱 内 ,手提 或 肩 背 都 很 方便 ， 
如 图 3-15 所 示 。 

3) PN 结 探测 器 ( 非 线性 结 探测 器 ) 

这 种 探测 器 可 探测 不 工作 的 无 线 窃听 器 ,也 可 探测 包 
含有 晶体 管 或 集成 电路 块 , 即 含有 PN 结 元 器 件 的 各 种 窃 
听 器 。 me 

它 工作 时 ,发 送 一 个 低 电 平 微波 束 , 当 遇 到 任何 二 极 a 
管 、 三 极 管 或 集成 电路 等 PN 结 元 器 件 时 ,产生 反射 波 ,并 ”< P 
在 反射 波 中 出 现 谐 波 分 量 , 可 探测 到 隐藏 到 墙壁 家 具 、 天 m 
花 板 内 几 十 公分 处 的 窃听 器 。 它 的 缺点 是 如 果 窃 听 器 隐藏 
在 电器 中 , 则 探测 器 区 别 不 出 是 窃听 器 中 的 PN 结 器 件 ,还 
是 电器 中 的 PN 结 器 件 。 

4. 激光 窃听 的 预防 


预防 激光 窃听 的 方法 有 很 多 ,从 原理 上 讲 主 要 掌握 以 下 两 个 要 素 : 防止 激光 射 人 目标 
房间 的 窗 玻 璃 上 、 破 坏 反射 体 随 声音 的 正常 振动 。 

有 具体 方法 有 : 

(1) 在 玻璃 窗外 加 一 层 百叶 窗 或 其 他 能 阻挡 激光 的 物体 。 

(2) 窗 玻 璃 改 用 异形 玻璃 ,异形 玻璃 表面 不 平滑 ,不 影响 透 光 , 但 使 散射 回去 的 激光 无 

(3) 将 窗 玻 璃 装 成 一 定 角度 ,使 人 射 的 激光 束 反射 到 附近 的 地 面 。 

(4) 窗户 配 上 足够 厚 的 玻璃 ,使 之 难于 与 声音 共振 。 

(5) 将 压 电 体 或 电机 的 音频 噪声 源 贴 在 窗 玻 璃 上 或 置 于 窗户 的 附近 ,使 噪声 附加 在 反 
射 光束 上 。 

(6) 谈话 时 室内 放 录 音 (最 好 是 在 公共 场所 录 的 嗜 杂 音 ) ,将 谈话 声 淹没 在 杂 声 中 。 这 
一 措施 对 防止 其 他 手段 的 窃听 也 是 有 用 的 。 

(7) 用 激光 探测 器 探测 室内 是 否 存在 激光 ,如 果 室 内 有 超 量 的 激光 强度 时 就 发 出 警报 


3-15 反 窃 听 器 探测 仪 


信号 。 
5. 电话 窃听 
电话 窃听 的 手段 很 多 ,常用 的 有 : 
1) 通过 电话 交换 机 控制 用 户 电话 
这 种 电话 窃听 系统 很 大 ,自动 化 程度 很 高 ,只 要 目标 电话 一 使 用 ,监听 设备 立即 起 动 实 
施 窃 听 , 始 叫 话机 的 号 码 .通信 的 日 期 和 时 间 也 同时 被 自动 记录 下 来 。 

2) 利用 电话 线路 的 串 音 窃听 

由 于 电话 线 、 变 压 器 或 其 他 线路 元 件 并 置 后 ,电磁 感应 造成 一 路 电话 线 上 可 能 感应 另 一 
路 电话 线 上 的 电话 信号 。 对 于 技术 质量 比较 差 的 通信 线路 ,如 采用 架空 明 线 或 质量 差 的 通 
信和 电缆 ,有 时 两 条 线路 只 要 有 几 十 公分 长 的 间隔 相互 平行 ,就 能 产生 足够 强 的 串 音 。 这 种 串 
音 有 时 直接 听 不 出 来 ,但 用 放大 器 放大 便 可 听 清 楚 。 早 期 有 些 国 家 的 情报 机 关 利 用 这 种 特 
性 设计 制造 串 音 窃 听 器 ,提供 给 他 们 秘密 派 往 国 外 的 间谍 使 用 。 这 些 间谍 在 居住 地 把 电话 
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串 音 窃听 器 跨 接 在 电话 线 上 ,窃听 与 此 线 平 行 的 其 他 线路 里 的 通话 声 。 

随 着 通信 线路 及 通信 设备 质量 的 不 断 提高 ,特别 是 优质 通信 和 电缆 及 光纤 电缆 蔡 代 了 架 
空 明 线 ,给 串 音 窃听 增加 了 困难 。 

3) 在 电话 系统 里 安装 窃听 器 件 

用 得 比较 多 的 是 落 入 式 电话 窃听 器 。 这 种 窃听 器 可 以 当 作 标 准 送 话 器 使 用 ,用 户 不 易 
察觉 。 它 的 电源 取 自 电话 线 ,并 以 电话 线 作 天 线 , 当 用 户 拿 起 话机 通话 时 , 它 就 将 通话 内 容 
用 无 线 电波 方式 传输 给 几 百 米 外 的 接收 机 。 这 种 窃听 器 安装 非常 方便 ,从 取 下 正常 的 送 话 
器 到 换 上 穷 听 器 ,只 要 几 十 秒 钟 时 间 。 可 以 以 检修 电话 为 由 ,潜入 用 户 室 内 安装 或 印 下 这 种 
窃听 器 。 

还 有 一 种 米粒 大 小 的 窃听 电话 发 射 机 。 将 它 装 在 电话 机 内 或 者 电话 线 上 ,肉眼 观察 很 
难 发 现 。 这 种 窃听 器 平时 不 工作 ,只 有 打 电 话 时 才 工 作 。20 世纪 70 年 代 麦 动 世界 的 美国 
“水 门 事件 ”就 是 使 用 这 类 电话 窃听 器 。 

在 架空 明 线 上 安装 两 只 伪装 成 绝缘 瓷 瓶 的 窃听 器 , 跨 接 在 电话 线路 上 ,其 中 一 只 装 有 窃 
听 感 应 器 ,发 射 机 和 蓄电池 , 另 一 只 装 有 窃听 感应 器 和 蓄电池 。 当 线路 上 电话 .电报 、 传 真 信 
号 经 过 两 个 窃听 感应 器 时 ,将 感应 的 信号 送 到 发 射 机 ,通过 固定 在 架 线 杆 顶 部 的 天 线 将 信号 
发 射出 去 ,被 约 1km 外 的 接收 机 所 接收 。 由 于 蓄电池 是 太阳 能 电源 ,所 以 能 长 期 使 用 。 

4) 利用 电话 系统 的 某 一 部 分 窃听 房 内 谈话 

利用 电话 系统 的 某 一 部 分 窃听 房 内 谈话 ,也 是 国外 广泛 使 用 的 一 种 窃听 技术 。 用 得 比 
较 多 的 是 谐 波 窃听 器 , 它 是 一 个 由 音调 控制 的 话 简 形 状 装置 。 窃 听 者 可 以 利用 另 一 部 电话 ， 
对 目标 房间 的 电话 进行 遥控 。 当 目标 电话 中 的 谐 波 窃听 器 收 到 遥控 信号 后 , 便 自 动 启 动 窃 
听 器 , 窟 听 者 就 可 以 在 远离 目标 房间 的 另 一 部 电话 中 ,窃听 目标 房间 的 谈话 内 容 。 

6 电话 反 窃听 

防 电话 窃听 的 方法 有 : 电话 窃听 报警 器 、 电 话 分 析 仪 采取 语音 保密 技术 等 。 

1) 电话 窃听 报警 器 

电话 窃听 报警 器 可 以 对 装 在 电话 系统 中 的 窃听 器 发 出 报警 信号 。 其 基本 原理 是 测试 电 
话 线 的 线 电压 ,与 正常 的 参数 相 比 较 , 如 原 线 电压 为 13V, 分 线 盒 前 或 分 线 盒 后 串 接 窃听 器 
后 , 线 电压 就 降 至 6V ,报警 器 产生 报警 信号 。 这 种 报警 器 除 有 报警 指示 灯 外 ,还 有 数字 读 出 
的 电压 表 。 可 以 24 小 时 监视 电话 系统 ,也 可 连接 录音 机 将 被 窃听 的 话音 记录 下 来 。 

还 有 一 种 防 窃听 电话 ,本 身 带 有 窃听 报警 装置 。 此 装置 利用 电话 机 中 的 电源 ,对 电话 机 
周围 进行 无 线 电 波 监测 ,一 旦 有 无 线 窃听 器 工作 , 它 就 发 出 报警 信号 。 这 种 电话 机 外 表 与 普 
通电 话机 一 样 ,不 影响 正常 通话 ,使 用 方便 。 

2) 电话 分 析 仪 

电话 分 析 仪 能 够 测试 电话 系统 中 挂钩 或 脱钩 时 的 阻抗 电压 .电流 ,检测 有 无 射频 辐射 、 
有 无 谐 波 窃听 器 。 例 如 在 电话 系统 中 任何 地 方 插入 窃听 器 件 时 要 切断 电话 线 , 这 时 它 就 会 
发 出 报警 信号 。 

3) 采取 语音 保密 技术 

以 上 方式 都 是 被 动 反 窃 听 ,在 现实 生活 中 人 们 还 可 以 主动 反 窃 听 , 即 使 用 话音 保密 器 。 

话音 保密 器 是 加 装 在 电话 机 上 的 附属 设备 , 当 人 们 拿 起 电话 通话 时 , 它 会 首先 对 话音 信 
号 进行 加 密 ,再 传输 给 对 方 。 在 对 方 的 话机 上 ,最 先 收 到 信号 的 也 是 保密 器 。 它 把 信号 解密 
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后 再 送 入 听 简 里 。 也 就 是 说 ,用 户 虽然 讲 的 是 明 话 ,但 在 线路 上 传递 的 却 是 没 人 能 听 懂 的 密 
语 , 因 而 能 有 效 防 止 窃听 。 

目前 还 出 现 了 一 种 “数字 化 话音 保密 通信 ”, 由 话音 保密 器 把 语音 信号 数字 化 ,然后 将 它 
们 与 近似 随机 的 一 串 信 号 结合 在 一 起 , 变 成 一 种 似乎 没有 规律 的 加 密 电 码 ,这 种 方法 非常 适 
合 现代 战争 的 通信 保密 。 

7. 无 线 电 波 窃听 

由 于 无 线 通信 和 是 以 电磁 波 在 空间 传播 的 ,窃听 无 线 通 信 比 窟 听 有 线 通 信和 更 容易 、 更 安 
全 。 因 此 ,一 些 国家 把 窃取 目标 国 的 无 线 通信 秘密 ,作为 获取 政治 .军事 .经济 .科技 情报 的 
重要 手段 ,不惜 投 入 大 量 的 人 力 、 物 力 和 财力 ,在 全 球 范围 内 ,建立 起 现代 化 的 立体 侦 听 

无 线 电波 窃听 的 方法 主要 有 : 

1) 地 面 侦 听 站 

在 本 国 或 外 国 使 领 馆 派出 机 构建 立 大 型 侦 听 基地 和 侦 听 站 ,在 陆地 截 收 无 线 电信 号， 
并 进行 分 析 处 理 , 获 取 情 报 。 

2) 空间 侦察 卫星 

利用 卫星 上 的 电子 侦 听 设备 对 空中 电磁 波 信号 进行 截 收 。 由 于 卫星 具有 位 置 高 、 无 线 
增益 高 ,侦察 面积 大 飞行 速度 快 和 侦察 合法 化 等 特点 ,能 成 功 侦 听 地 面 所 有 强 弱 无 线 电 通 
信 信 号 。 

1996 年 4 月 21 日 ,车 臣 总 统 杜 达 耶 夫 的 卫星 电话 频率 被 俄 情报 机 构 的 无 线 电 测 向 定 
位 监听 到 ,并 连续 三 次 确定 杜 达 耶 夫 的 通话 位 置 后 ,俄罗斯 立即 发 射 了 空 对 地 导弹 ,准确 击 
中 了 杜 的 秘 梨 , 误 差 仅 几米 , 杜 当 即 丧 命 。 

2001 年 11 月 中 旬 ,由 于 反 塔 联盟 攻占 马扎 里 沙 夫 , 塔 利 班 撤 出 喀布尔 。 这 时 ,美国 的 
间谍 卫星 和 侦察 机 几乎 同时 发 现 , 在 溃败 的 人 群 中 有 一 支 特别 的 部 队 。 当 这 支 特别 的 部 队 
停 驻 在 一 个 小 镇 的 旅店 时 ,美军 司令 部 下 达 了 消灭 目标 的 命令 。 伴 随 着 巨大 的 爆炸 声 ,旅店 
燃 起 了 熊熊 大 火 。 数 小 时 后 ,美国 中 情 局 从 监视 的 目标 通信 中 截 听 并 破译 了 一 个 从 阿富汗 
发 出 的 卫星 电话 信号 ,得 知 拉登 基地 组 织 的 多 名 高 层 领导 在 这 次 攻击 中 丧生 ,其 中 包括 拉登 
的 副手 阿 提 夫 。 

3) 间谍 船 

通过 在 船上 安装 电子 侦 听 设备 ,在 近海 或 目标 附近 侦 听 截 收 各 种 无 线 电 通信 信号 ,此 外 
还 可 以 窃取 海底 通信 电缆 的 信和 号。 

4) 间谍 飞机 

在 军用 、 民 用 或 无 人 驾驶 飞机 上 安装 先进 的 电子 和 通信 侦 听 设备 , 截 收 空中 电磁 信号。 

8. 无 线 电 波 反 窃听 

防止 窃听 者 截 收 无 线 电 波 是 反 窍 听 的 一 项 重要 手段 , 它 的 目的 是 让 窃听 者 的 “ 耳 人 打 ” 听 
不 到 、 听 不 全 或 听 走 样 ,包括 : 

1) 定向 通信 

无 线 电波 在 空中 传播 时 就 好 像 水 面 激 起 波纹 ,四 面 扩散 。 但 有 些 特殊 形状 的 天 线 和 特 
殊 形 式 的 电波 却 只 能 向 一 个 方向 扩散 .例如 定向 性 很 好 的 激光 。 这 样 , 人 们 就 可 以 限制 无 线 


96 信息 对 抗 与 网 络 安全 (第 2 版 ) 


电波 的 传输 方向 ,只 对 着 己方 接收 机 发 射 ,让 窃听 的 接收 机 截 收 不 到 。 即 使 窃听 者 掌握 了 目 
标的 通信 方向 ,其 截 收 天 线 势必 阻挡 电波 ,导致 通信 中 断 而 无 法 窃听 。 

2) 快速 通信 

快速 通信 和 是 指 在 通信 前 ,发 方 和 收 方 同时 做 好 准备 ,突然 将 简要 的 情报 发 出 去 ,窃听 者 
因 毫 无 准备 来 不 及 截 收 。1978 年 ,伊朗 就 发 生 了 一 起 通信 间谍 案 。 伊 朗 陆 军 少将 阿 赫 默 
德 。 莫 格 勒 比 是 克格勃 发 展 的 特务 。 苏 联 大 使 馆 领事 鲍 里 斯 。 卡 巴 诺 夫 经 常 开 着 小 汽车 经 
过 他 住宅 前 的 马路 。 每 次 进入 马路 路 口 时 ,卡巴 诺 夫 就 按 动 座位 下 的 开关 ,发 出 一 个 无 线 电 
遥控 信号 。 信 号 打开 莫 格 勒 比 家 中 的 快速 收发 报 机 ,使 其 预先 记录 在 磁带 上 的 情报 快速 发 
出 ,由 汽车 上 的 接收 机 记录 下 来 。 整 个 过 程 在 卡巴 诺 夫 离开 这 条 马路 时 完成 。 伊 朗 反 间谍 
机 关 一 直上 暗中 跟踪 卡巴 诺 夫 ,但 每 次 都 觉得 他 没有 “作案 时 间 ”, 竟 让 其 在 眼皮 底下 窃取 了 4 
年 的 情报 。 

3) 跳 频 通信 

一 般 电台 的 工作 频率 是 固定 的 ,窃听 者 找到 这 个 频率 就 可 以 截 收 通信 信号 。 针 对 这 一 
点 ,目前 一 些 国家 采用 频率 捷 变 的 方法 ,通信 时 发 收 双 方 的 频率 都 按照 约定 的 规律 同步 快速 
跳 变 ,使 窃听 者 无 法 捕捉 ,即使 偶然 磁 上 一 个 频率 , 它 又 很 快 跳 到 别 的 频率 上 了 。 

4) 伪装 通信 

对 于 窃听 者 来 说 ,如 果 截 收 到 的 无 线 电波 虚实 难 分 ,就 必须 花费 相当 的 精力 和 时 间 去 辩 
别 。 因 此 ,通过 设置 假 电台 、 使 用 假 信号 .传送 假 报 文 等 伪装 通信 手段 ,可 以 迷惑 窃听 者 ,使 
真情 报 因 时 间 延 误 而 失去 价值 ,而 假 情报 又 因 时 间 紧 迫 而 识别 有 误 。 

5) TREER 

还 有 一 种 在 军事 上 经 常 采 用 的 反 电波 窃听 方式 ,就 是 在 重大 军事 行动 开始 前 或 开始 阶 
BE ,突然 停止 一 切 无 线 电 通信 联络 ,使 敌 方 侦察 不 到 已 方 情 况 。 这 在 战术 手段 上 称 为 无 线 电 
静默 。1941 年 ,日 本 偷袭 珍珠 港 时 ,就 停止 了 突击 舰队 和 大 本 营 的 无 线 电 通信 ,使 庞大 的 舰 
队 在 大 海中 人 不 知 鬼 不 觉 地 航行 了 12 天 。 当 大 批 日 本 舰 载 飞机 飞 临 珍珠 港 上 空 时 ,美军 才 
如 梦 初 醒 ,躲闪 不 及 。 

9. 小 结 

现代 声音 窃听 技术 还 在 不 断 发 展 , 纳 米 技术 、 微 电子 技术 、 遥 感 技术 .空间 技术 等 高 新 技 
术 正 促使 它 变 得 更 加 隐藏 .方便 .高效 ,成 为 无 孔 不 和 的 “顺风 耳 ”。 

反 窃 听 技 术 概 括 起 来 有 “四 大 法 宝 ”: 隐蔽 ,不 该 说 的 机 密 绝对 不 说 ; 加 密 ,使 用 口令 、 
代号 .隐语 、 密 码 .语音 保密 器 等 进行 保密 : 欺骗 ,用 带 有 假 情报 的 对 话 、 声 音 、 电 文 、 信 号 来 
掩盖 通信 的 真实 意图 ; 破获 ,如 找 出 窃听 器 ,识破 窃听 的 技术 手段 , 捉 住 暗藏 的 窃听 者 等 。 
可 以 说 ,当今 世界 上 窃听 和 反 窃 听 的 斗争 也 是 一 场 比 科学 . 比 技术 E 


3.3.2 模拟 话音 保密 技术 与 数字 话音 保密 技术 
话音 保密 技术 包括 模拟 置 乱 和 数字 加 密 两 大 类 。 模 拟 置 乱 指 对 模拟 话音 所 含 频率 、 时 
间 、 振 幅 进行 处 理 和 变换 ,破坏 话音 的 原 有 特征 , 尽 可 能 使 之 不 留 下 任何 可 以 辨认 的 痕迹 , 达 


到 保密 传输 话音 信号 的 目的 ; 数字 加 密 是 把 话音 模拟 信号 变换 成 数字 信号 ,然后 用 数字 方 
法 加 密 , 保 密 性 比 模拟 加 密 好 。 


PIE 通信 保密 技术 97 


1. 模拟 置 乱 技 术 

模拟 话音 信息 包含 频率 .时 间 和 振幅 三 大 基本 特征 ,模拟 置 乱 对 这 三 大 特征 进行 某 些 人 
为 的 处 理 和 变动 ,使 原来 的 话音 信号 面目 全 非 ,达到 保密 的 目的 。 单 独 的 置 乱 分 别称 为 频率 
置 乱 .时 间 置 乱 和 幅度 置 乱 ,如 果 同 时 对 两 个 或 两 个 以 上 参数 进行 置 乱 , 则 称 为 二 维 置 乱 或 
多 维 置 乱 。 

1) 频率 置 乱 

频率 置 乱 包括 频率 倒置 .频带 移 位 、 频 带 分 割 置 乱 等 ,其 作用 是 通过 置 乱 改变 话音 信和 号 
的 瞬时 功率 谱 密 度 的 分 布 , 使 得 各 个 话音 的 频谱 特征 与 原始 的 大 相 径 庭 。 

倒 频 器 是 最 早 的 话音 加 密 器 , 它 的 原理 是 把 话音 信号 300 一 3400Hz 的 频谱 反 转 过 来 ， 
即 把 300Hz 一 端的 频谱 移 到 3400Hz 一 端 ,而 把 3400Hz 一 端的 频谱 移 到 300Hz 一 端 。 由 
于 频谱 两 端 成 分 的 偏 移 很 大 ,从 而 形成 不 可 理解 的 话音 信号 ; 但 是 中 间 的 频谱 成 分 偏 移 却 
很 小 ,所 以 仍然 有 相当 一 部 分 话音 信号 是 可 以 理解 的 。 当 窃听 者 制造 出 相同 的 倒 频 器 时 ,这 
种 体制 很 快 就 被 破译 了 。 

现在 一 般 采 用 多 重 倒 频 加 密 的 滚 码 方法 ,如 把 话音 频带 一 分 为 二 ,各 部 分 以 不 同 频率 倒 
置 ,再 把 这 两 部 分 相 加 产生 出 带宽 与 原始 信号 一 样 的 组 合 信号 。 

2) 时 间 置 乱 

时 间 置 乱 指 改 变 时 间 单 元 的 先后 关系 ,包括 颠倒 时 段 、. 时 间 单 元 跳动 窗 置 乱 .时间 单元 滑 
动 窗 置 乱 .时 间 样 点 置 乱 等 ,造成 奇异 的 话音 组 合 , 使 话音 的 节奏 能量 .韵律 等 发 生变 化 。 

3) 幅度 置 乱 

幅度 置 乱 又 称 为 噪声 掩蔽 ,将 噪声 信号 或 伪 随 机 信和 号码 加 到 话音 信号 上 ,将 其 可 理解 的 
话音 信号 掩蔽 起 来 。 

4) 变换 置 乱 

变换 置 乱 是 获得 高 保密 度 的 有 效 置 乱 技术 ,其 原理 是 将 模拟 信号 变换 成 数字 信号 , 作 数 
字 加 密 , 然 后 再 还 原 成 模拟 信号 进行 传输 。 变 换 域 置 乱 包 括 扁 球体 置 乱 、 傅 氏 变 换 置 乱 、 离 
散 傅 氏 变换 置 乱 .数论 变换 置 乱 等 。 

5) 模拟 置 乱 的 缺点 

模拟 置 乱 不 能 全 部 去 掉 原 始 模拟 信号 的 基本 属性 ,保密 性 较 差 ,将 逐渐 被 数字 话音 加 密 
技术 所 取代 。 

2. 数字 话音 加 密 技术 

数字 话音 加 密 技术 是 通常 采用 的 保密 通信 技术 ,具有 和 较 高 的 保密 性 ,其 特点 是 先 把 原始 
信和 号 转换 为 数字 信号 ,然后 采用 适当 的 数字 加 密 方法 实现 保密 通信 。 

话音 数码 化 的 方式 可 分 为 直接 数码 化 方式 和 话音 频谱 压缩 编码 方式 两 大 类 。 

1) 直接 数码 化 方式 

直接 进行 编码 ,编码 和 解码 器 采用 增 量 调制 方式 实现 。 随 着 大 规模 集成 电路 技术 的 发 
展 及 对 增 量 调制 技术 的 深入 研究 ,推出 了 许多 改进 形式 ,如 连续 可 变 斜 率 增 量 调制 (CVSD) 
已 成 为 军事 话音 保密 机 的 主要 数码 化 技术 。 

2) 话音 频谱 压缩 编码 方式 

对 话音 频谱 进行 压缩 后 再 编码 ,如 用 于 短波 波段 的 保密 通信 声 码 器 , 它 是 按 预定 间隔 提 
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取 并 只 传输 话音 的 主要 特征 ,然后 在 接收 端 利用 这 些 特 征 恢复 出 话音 。 
3.3.3 扩展 频谱 与 无 线 通信 保密 技术 


扩 频 技术 的 历史 可 以 追溯 到 20 世纪 50 年 代 中 期 ,其 最 初 的 应 用 包括 军事 抗 干扰 通信 、 
导航 系统 等 。 直 到 20 世纪 80 年 代 初 , 扩 频 技术 仍然 主要 应 用 在 军事 通信 和 保密 通信 中 ,这 
种 状况 到 了 20 世纪 80 年 代 中 期 才 得 到 改变 。 美 国联 邦 通信 委员 会 (FCC) 于 1985 年 5 月 
发 布 了 一 份 关于 将 扩 频 技术 应 用 到 民用 通信 的 报告 ,从 此 , 扩 频 通信 技术 获得 了 更 加 广阔 的 
应 用 空间 。 

扩 频 技术 最 初 在 无 绳 电话 中 获得 成 功 应 用 ,因为 当时 已 经 没有 可 用 的 频段 供 无 绳 电话 
使 用 ,而 扩 频 通信 技术 允许 与 其 他 通信 系统 共用 频段 ,所 以 扩 频 技术 在 无 绳 电话 的 通信 系统 
中 获得 了 其 在 民用 通信 系统 中 应 用 的 第 一 次 成 功 经 历 。 而 真正 使 扩 频 通信 技术 成 为 当今 通 
信和 领域 研究 热点 的 是 码 分 多 址 (CDMA) 的 应 用 。 

扩 频 技术 为 共享 频谱 提供 了 可 能 ,使 用 扩 频 技术 能 够 实现 码 分 多 址 , 即 在 多 用 户 通 信 系 
统 中 所 有 用 户 共 享 同 一 频段 ,但 是 通过 给 每 个 用 户 分 配 不 同 的 扩 频 码 实现 多 址 通信 。 利 用 
扩 频 码 的 自 相 关 特 性 能 够 实现 对 给 定 用 户 信和 号 的 正确 接收 ; 将 其 他 用 户 的 信号 看 作 干 扰 ， 
利用 扩 频 码 的 互相 关 特 性 ,能 够 有 效 抑制 用 户 之 间 的 干扰 。 此 外 由 于 扩 频 用 户 具 有 类 似 白 
噪声 的 宽带 特性 , 它 对 其 他 共享 频段 的 传统 用 户 的 干扰 也 达到 最 小 。 由 于 采用 CDMA 技术 
能 够 实现 与 传统 用 户 共享 频谱 ,因此 它 也 就 成 为 个 人 通信 业务 (PCS) 首 选 的 多 址 方案 。 

1. 扩展 频谱 技术 

扩 频 通信 的 理论 基础 是 香农 定理 : 

C = WLog: (1+ S/N) 
式 中 : C 为 信道 容量 ,W 是 传输 带宽 ,S/N 是 信号 功率 /噪声 功率 。 

在 信息 速率 一 定时 ,可 以 用 不 同 的 信号 带宽 和 相应 的 信 噪 比 来 实现 传输 , 即 信号 带宽 越 
宽 , 信 噪 比 可 以 越 低 ,甚至 在 信号 被 噪声 淹没 的 情况 下 也 可 以 实现 可 靠 通信 。 因 此 ,将 信和 号 
的 频谱 扩展 ,可 以 实现 低 信 噪 比 传输 ,并 且 可 以 保证 信号 传输 有 较 好 的 抗 干扰 性 和 较 高 的 保 
密 性 。 

2. 频谱 扩展 的 主要 方式 

频谱 扩展 的 方式 主要 有 以 下 几 种 : 

。 直接 序列 扩 频 (Direct Sequence Spread Spectrum, DSSS): 使 用 高 速 伪 随机 码 对 要 

传输 的 低速 数据 进行 扩 频 调制 。 

。 跳 频 (frequency hopping): 利用 伪 随 机 码 控制 载波 频率 在 一 个 更 宽 的 频带 内 变化 。 

。 BERF (time hopping): 数据 的 传输 时 隙 是 伪 随 机 的 。 

。 宽带 线性 调频 (chip modulation) : 频率 扩展 是 一 个 线性 变化 的 过 程 。 

以 上 方法 中 最 常用 的 是 直接 序列 扩 频 和 跳 频 。 一 般 而 言 , 跳 频 系统 主要 在 军事 通信 中 
对 抗 故意 干扰 ,在 卫星 通信 中 用 于 保密 通信 ; 而 直接 序列 扩 频 则 主要 是 一 种 民用 技术 ， 
CDMA 系统 在 移动 通信 中 的 应 用 已 成 为 扩 频 技术 的 主流 ,已 经 在 第 二 代 移 动 通信 系统 
(2G) 的 应 用 中 取得 了 巨大 的 成 功 , 在 目前 所 有 建议 的 第 三 代 移动 通信 系统 (3G) 标 准 中 ( 除 
了 EDGE) ,都 采用 了 某 种 形式 的 CDMA, 
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3. 直接 序列 扩 频 技术 

直接 序列 扩 频 使 用 伪 随 机 码 (PN code) 对 信息 比特 进行 模 2 加 操作 ,得 到 扩 频 序列 , 然 
后 使 用 扩 频 序列 去 调制 载波 发 射 ,由 于 PN 码 通常 比较 长 ,因此 发 射 信号 在 比较 低 的 功率 下 
可 以 占用 很 宽 的 功率 谱 , 即 实现 宽带 低 信 噪 比 传输 。PN 码 的 长 度 决定 了 扩 频 系统 的 扩 频 
增益 ,而 扩 频 增益 又 反映 了 一 个 扩 频 系统 的 性 能 。 

直接 序列 扩 频 系统 的 解 扩 与 常规 无 线 通信 和 解 调 方式 完全 不 同 。 在 接收 端 ,接收 信号 经 
过 放大 混 频 后 ,经 过 与 发 射 端 相 同 且 同步 的 PN 码 进行 相关 解 扩 ,从 扩 频 信号 中 恢复 出 窄带 
信号 ,再 对 窄带 信号 进行 解 调 , 解 出 原始 信息 序列 。 

就 无 线 传输 方式 来 说 ,传统 的 窄带 微波 传输 由 于 抗 干 扰 性 、 保 密 性 、. 可 靠 性 、 频 率 占 用 、 
传输 带宽 等 多 方面 的 问题 ,已 经 很 难 适应 现代 信息 技术 的 要 求 , 而 扩 频 通信 技术 的 发 展 和 应 
用 及 时 有 效 地 为 这 个 问题 提供 了 解决 手段 。 

现代 通信 的 新 领域 ,包括 数字 蜂窝 移动 通信 、 专 用 网 络 通 信 、 室 内 无 线 通 信 、CDMA 移 
动 通 信 无 线 局 域 网 ` 无 线 广域网 “蓝牙 ”传输 技术 等 都 是 基于 扩 频 通信 体制 的 通信 方式 。 

目前 ,应 用 了 扩 频 通信 技术 的 通用 产品 主要 有 两 类 ,一 是 扩 频 无 线 调制 解 调 器 ,二 是 专 
门 提 供 无 线 网 络 连接 的 无 线 网 桥 .无 线 网 卡 、 无 线路 由 器 。 

无 线 调 制 解 调 器 能 够 提供 透明 的 数据 通道 ,根据 需要 配置 终端 设备 ,可 以 支持 多 种 数据 
业务 ,如 话音 ,数据 网 络 ` 图 像 等 。 由 于 技术 原因 限制 ,还 不 能 实现 真正 的 话音 点 对 多 点 业 
务 , 基 本 上 都 是 依赖 系统 的 释 加 来 实现 。 对 于 单独 的 数据 业务 或 网 络 连接 ,如 果 数 据 延 时 没 
有 特别 严格 的 要 求 ,可 以 采用 轮 询 方式 传输 。 

无 线 网 络 类 产品 基本 可 以 分 为 两 类 ,一 类 是 基于 802. 11 无 线 网 络 协议 标准 的 无 线 网 络 
产品 , 另 一 类 是 基于 各 个 厂商 传输 标准 的 无 线 网 桥 或 无 线路 由 器 。 它 们 都 提供 了 高 速 的 无 
线 网 络 连接 ,可 以 广泛 应 用 于 点 对 点 或 点 对 多 点 无 线 局 域 网 、 无 线 广域网 连接 或 宽带 无 线 
接 入 。 

无 线 网 络 产品 是 扩 频 通信 技术 在 数据 通信 和 领域 一 个 典型 应 用 ,充分 发 挥 了 扩 频 通信 技 
术 的 各 种 优越 性 ,为 现代 网 络 技术 的 广泛 应 用 提供 了 更 灵活 、 多 样 的 解决 手段 。 随 着 网 络 技 
术 的 发 展 和 进一步 应 用 ,移动 无 线 网 络 ,漫游 无 线 接 入 必 将 成 为 现实 ,话音 、 数 据 、 图 像 的 多 
业务 移动 应 用 也 将 得 到 巨大 的 发 展 和 应 用 ,这 又 将 极 大 地 促进 扩 频 通信 技术 的 快速 发 展 。 

4. 跳 频 扩 频 通信 技术 

跳 频 扩 频 的 实现 方法 是 载 频 信号 以 一 定 的 速度 和 顺序 ,在 多 个 频率 点 上 跳 变 传递 ,接收 
端 以 相应 的 速度 和 顺序 接收 并 解 调 。 这 个 预先 设 定 的 频率 跳 变 的 序列 就 是 PN 码 。 在 PN 
码 的 控制 下 ,收发 双方 按照 设 定 的 序列 在 不 同 的 频率 点 上 进行 通信 。 由 于 系统 的 工作 频率 
在 不 停 地 跳 变 ,在 每 个 频率 点 上 停留 的 时 间 仅 为 毫秒 级 或 微 秒 级 ,因此 在 一 个 相对 的 时 间 段 
内 ,就 可 以 看 作 在 一 个 宽 的 频段 内 分 布 了 传输 信号 ,也 就 是 宽带 传输 。 当 然 , 跳 频 通信 系统 
在 每 个 跳 频 点 上 的 瞬时 通信 实际 上 还 是 窄带 通信 。 

跳 频 通信 系统 的 频率 跳 变 速度 反映 了 系统 的 性 能 ,目前 , 跳 频 系 统 的 基本 水 平 是 : 短波 

É 100 跳 / 秒 , 超 短波 电台 500 跳 / 秒 。 每 秒 数 千 跳 的 扩 频 电台 也 已 经 问世 ,预计 未 来 十 
年 , 跳 频 电 台 的 发 展 可 以 达到 每 秒 几 万 甚至 几 十 万 ,上 百 万 跳 。 目 前 , 跳 频 系统 的 同步 时 间 
基本 在 几 百 毫秒 的 水 平 ,今后 也 必 将 越 来 越 短 。 同 步 时 间 越 短 ,信息 被 发 现 、 截 获 和 测 向 的 
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概率 越 低 ,通信 的 保密 性 .隐蔽 性 越 好 。 

无 线 电 通信 由 于 它 的 灵活 性 ,常常 被 用 于 作战 通信 。 但 是 ,传统 的 无 线 电 通信 都 是 在 某 
一 固定 频率 下 工作 的 ,很 容易 被 敌 方 截获 或 施加 电子 干扰 。 跳 频 通信 就 是 针对 上 述 传统 无 
线 电 通信 的 弊端 ,使 原先 固定 不 变 的 无 线 电 频率 按 一 定 的 规律 和 速度 来 回 跳 变 , 而 让 约定 通 
信 方 也 按 此 规律 同步 跟踪 接收 。 由 于 敌 方 不 了 解 我 方 无 线 电信 号 的 跳 变 规律 ,很 难 将 信息 
截获 。 

跳 频 通信 可 以 有 效 地 避 开 单 频 干扰 和 多 频 干扰 ,但 是 电子 对 抗 中 的 跟踪 干扰 是 它 的 “天 
敌 ”, 跟 踪 干 扰 的 步骤 是 : 侦 听 、 处 理 、. 施 放 干扰 。 当 我 方 截获 到 敌 方 的 跳 频 序列 后 ,迅速 以 
同样 的 跳 频 序 列 施放 干扰 ,由 于 跳 频 序列 相同 ,预先 设 定 的 跳 频 序列 就 无 法 实现 正常 通信 ， 
这 时 只 有 通过 转换 跳 频 序列 才能 恢复 通信 ,但 是 又 会 被 重新 跟踪 并 干扰 。 

因此 只 有 提高 系统 性 能 ,提高 跳 频 速度 ,才能 达到 反 侦 听 目 的 。 由 于 受到 技术 条 件 、 元 
器 件 的 限制 ,不 可 能 无 限制 提高 跳 频 速度 。 今 后 的 跳 频 通信 应 该 是 跳 频 与 直接 序列 扩 频 技 
术 的 综合 ,或 者 是 跳 频 ,直接 序列 扩 频 、 跳 时 技术 的 综合 。 


3.4 图像 保密 通信 


在 人 们 工作 学习 和 生活 中 ,有 大 量 的 数字 图 像 和 数字 视频 (动态 图 像 ) 需 要 进行 传输 、 
存储 等 处 理 。 这 些 数字 图 像 和 视频 所 包含 的 信息 ,有 的 涉及 个 人 的 隐私 和 生命 安全 、 有 的 涉 
及 公司 的 巨大 商业 利益 、 有 的 甚至 涉及 国计民生 和 国家 安全 ,其 价值 无 法 衡量 ,因此 不 同 程 
度 地 需要 保密 。 随 着 多 媒体 技术 ,特别 是 网 络 通信 技术 的 飞速 发 展 和 普及 ,以 及 无 线 通信 技 
术 的 广泛 使 用 , 愈 来 愈 多 的 人 更 容易 接触 和 获取 传输 或 存储 中 的 数字 图 像 和 视频 ,威胁 到 其 
中 所 包含 信息 的 安全 。 因 而 数字 图 像 和 视频 信号 的 保密 工作 及 其 加 密 技术 的 研究 就 显得 十 

以 前 由 于 数字 图 像 和 视频 的 应 用 还 不 广泛 ,直接 使 用 密码 技术 ,将 图 像 和 视频 数据 与 文 
本 等 其 他 数据 等 同 对 待 ,对 全 部 数据 不 加 区 别 地 按 通用 方法 加 密 。 这 种 方法 安全 性 高 ,也 易 
于 实现 ,但 实用 中 存在 难以 克服 的 缺点 。 主 要 是 因为 视频 数据 的 海量 性 ,密码 学 方法 需要 很 
大 的 加 解密 计算 量 ,难以 同时 满足 实时 和 安全 的 需要 ; 并 且 由 于 视频 编码 信号 的 标志 信息 
因 加 密 无 法 识别 ,导致 不 能 在 线 检 索 。 这 些 问 题 严 重 阻碍 了 图 像 视频 加 密 的 应 用 。 

适用 于 数字 图 像 加 密 的 技术 和 方法 ,主要 包括 数字 图 像 置 乱 .分 存 、 隐 藏 水 印 等 ,它们 
是 针对 数字 图 像 特 征 的 一 些 特殊 加 密 方法 。 

数字 视频 在 许多 方面 与 静止 图 像 有 相同 的 特性 ,例如 数据 量 大 、 结 构 性 强 、 各 部 分 数据 
的 重要 性 不 相同 ,视频 的 帧 内 编码 与 静止 图 像 编 码 类 似 , 上 述 方法 和 思路 值得 视频 加 密 借 
鉴 。 但 为 了 保证 流畅 的 视觉 效果 ,视频 加 密 必须 在 较 短 时 限 内 实时 处 理 大 量 数据 ,要 求 有 很 
高 的 实时 处 理 速度 ,因此 需要 采用 针对 视频 编码 信号 信 源 特征 的 各 类 视频 加 密 技术 。 


3.4.1 数字 图 像 置 乱 .分 存 、 隐 藏 技术 


1. 数字 图 像 置 乱 技术 
数字 图 像 置 乱 是 指 将 图 像 中 像素 的 位 置 或 者 像素 的 颜色 “ 打 乱 ”, 将 原始 图 像 变 换 成 一 
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个 杂乱 无 章 的 新 图 像 。 其 本 质 是 使 用 某 种 算法 (如 Arnold 变换 、 幻 方 排列 、 Hilbert 曲线 、 
FASS 曲线 .Gray 代码 等 ) ,将 原来 (+,y) 处 的 像素 值 变 换 到 (x',y') 处 ,使 原 图 像 无 法 辨认 ， 
解密 时 再 恢复 原 (z,y) 值 。 如 果 不 知道 所 使 用 的 置 乱 变 换 , 很 难 恢复 出 原始 图 像 。 图 3-16 
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/ 
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是 经 Arnold 变换 的 效果 图 。 


/ 


la 


(a) 原 图 (b) 单 步 Amold 变 换 结 果 (c) 185 步 Arnold 变 换 结果 
图 3-16 Arnold 变换 


置 乱 过 程 不 仅 可 以 在 图 像 的 空间 域 (色彩 空间 、 位 置 空间 ) 上 进行 ,还 可 以 在 频 域 上 进 
行 。 如 果 先 将 图 像 经 DCT 或 小 波 变换 ,再 对 变换 域 系 数 按 同 样 算法 置 乱 , 效 果 更 好 ,而 且 
可 以 只 对 少量 的 重要 系数 置 乱 ,减少 了 计算 量 。 

2. 数字 图 像 分 存 技术 

将 图 像 信息 分 为 具有 一 定 可 视 效 果 、 没 有 互相 包含 关系 的 半幅 子 图 像 。 只 有 拥有 图 像 
信息 中 的 mm 三 nn) 幅 子 图 像 后 , 才 可 以 恢复 原始 图 像 的 信息 ; 而 任意 少 于 m 幅 的 子 图 像 信 
息 ,都 无 法 恢复 原来 的 图 像 。 如 果 丢 失 了 子 图 像 中 的 若干 幅 , 只 要 剩余 的 子 图 像 不 少 于 m 
幅 , 并 不 影响 图 像 的 恢复 。 

图 像 分 存 可 以 避免 由 于 少数 几 份 图 像 信息 的 缺失 ( 失 密 或 丢失 ) 而 造成 严重 的 事故 ,而 
个 别 图 像 信息 的 泄露 或 丢失 也 不 会 引起 整个 图 像 信 息 的 失 密 或 损失 ,从 而 降低 了 欠 取 或 毁 
坏 原始 图 像 信息 的 可 能 性 。 

3. 数字 图 像 隐藏 技术 

将 信息 隐藏 于 数字 化 媒体 之 中 ,实现 隐蔽 传输 .存储 、 身 份 识别 等 功能 。 把 指定 的 信息 
(可 以 是 图 像 , 也 可 以 是 声音 或 者 文字 .数值 等 信息 ) 隐 藏 于 数字 化 的 图 像 . 声 音 ,甚至 文本 当 
中 ,来 迷惑 恶意 攻击 者 。 


3.4.2 数字 水 印 技术 


数字 水 印 技术 是 指 用 信号 处 理 的 方法 在 数字 化 的 多 媒体 数据 中 嵌入 隐蔽 的 标记 ,这 种 
标记 通常 是 不 可 见 的 ,只 有 通过 专用 的 检测 器 或 阅读 器 才能 提取 。 

日 常生 活 中 为 了 鉴别 纸币 的 真 伪 , 人 们 通常 将 纸币 对 着 光源 ,会 发 现 真 的 纸币 中 有 清晰 
的 图 像 信息 显示 出 来 ,这 就 是 我 们 熟悉 的 “水 印 ”。 之 所 以 采用 水 印 技 术 是 因为 水 印 有 其 独 
特 的 性 质 : 水 印 是 一 种 几乎 不 可 见 的 印记 ,必须 放置 于 特定 环境 下 才能 被 看 到 ,不 影响 物品 
的 使 用 ; 水 印 的 制作 和 复制 比较 复杂 ,需要 特殊 的 工艺 和 材料 ,而 且 印 刷 品 上 的 水 印 很 难 被 
去 掉 。 因 此 水 印 常 被 应 用 于 诸如 支票 .证 书 、 护 照 ,发票 等 重要 印刷 品 中 ,长 期 以 来 判定 印刷 
品 真 伪 的 一 个 重要 手段 就 是 检验 它 是 否 包 含水 印 。 

随 着 数字 技术 和 Internet 的 快速 发 展 ,多 媒体 作品 (图 像 、 视 频 、 声 频 ) 传 播 的 范围 和 速 
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度 突飞猛进 ,但 同时 盗版 现象 也 愈演愈烈 。 于 是 保护 数字 音像 产品 的 版 权 , 维 护 创作 者 的 合 
法 利益 ,成 为 关系 文化 市 场 繁 莱 的 重大 课题 。 数 字 水 印 技术 正 是 在 这 个 背景 下 诞生 的 , 它 通 
过 在 原始 数据 中 嵌入 秘密 信息 一 一 水 印 ,来 证 明 多 媒体 作品 的 所 有 权 。 它 在 数字 作品 的 知 
识 产权 保护 .商品 交易 中 的 票据 防伪 、 声 像 数 据 的 隐藏 标识 和 自 改 提示 、 隐 项 通信 及 其 对 抗 
等 领域 具有 广泛 的 应 用 价值 。 

1. 数字 水 印 的 基本 特征 

数字 水 印 中 包含 音像 作品 的 版 本 、 创 作者 、 拥 有 者 、 发 行人 等 信息 ,数据 量 并 不 大 ,一 般 
控制 在 100 位 以 内 ,与 动 辑 上 兆 字 节 的 音乐 .影视 文件 相 比 犹如 藏 在 草 堆 中 的 一 根 针 。 

数字 水 印 必须 具备 如 下 基本 特征 : 

1) 隐蔽 性 

在 数字 作品 中 嵌入 数字 水 印 不 会 引起 明显 的 质量 下 降 。 利 用 人 类 视觉 或 听觉 特性 ,使 
带 水 印 的 作品 欣赏 起 来 无 异 于 原先 的 作品 。 

2) 隐藏 位 置 的 安全 性 

水 印信 息 隐藏 于 数据 而 非 文件 头 中 ,文件 格式 的 变换 不 会 导致 水 印 数据 的 丢失 。 

3) 安全 性 

具有 较 强 的 抗 攻击 能 力 ,能 够 承受 一 定 程度 的 人 为 攻击 ,而 暗藏 的 水 印 不 被 破坏 。 水 印 
作品 和 普通 作品 在 统计 噪音 分 布 上 不 存在 区 别 , 攻 击 者 无 法 用 统计 学 方法 确定 水 印 的 位 置 。 

4) 鲁 棒 性 

鲁 棒 性 指 在 经 历 多 种 无 意 或 有 意 的 信号 处 理 过 程 后 ,数字 水 印 仍 能 保持 完整 性 或 仍 能 
被 准确 鉴别 。 可 能 的 处 理 包 括 : 对 图 像 进行 尺 十 缩放、 剪裁. 扭转 等 ; 对 图 像 进行 有 损 压 
缩 ; 调整 图 像 和 视频 的 对 比 度 、 亮 度 、 色 度 ; 进行 模 / 数 、 数 / 模 转换 等 。 

在 数字 水 印 技术 中 ,水 印 的 数据 量 和 和 鲁 棒 性 构成 了 一 对 基本 矛盾 。 从 主观 上 讲 ,理想 的 
水 印 算法 应 该 既 能 隐藏 大 量 数据 ,又 可 以 抵抗 各 种 信道 噪声 和 信号 变形 。 然 而 在 实际 中 ,这 
两 个 指标 往往 不 能 同时 实现 ,不 过 这 并 不 会 影响 数字 水 印 技术 的 应 用 ,因为 实际 应 用 一 般 只 
偏重 其 中 的 一 个 方面 。 如 果 是 为 了 隐蔽 通信 ,数据 量 显然 是 最 重要 的 ,由 于 通信 方式 极为 隐 
蔽 ,遭遇 敌 方 算 改 攻击 的 可 能 性 很 小 ,因而 对 和 鲁 棒 性 要 求 不 高 。 但 对 保证 数据 安全 来 说 , 情 
况 恰 恰 相 反 , 各 种 保密 的 数据 随时 面临 着 被 瓷 取 和 算 改 的 危险 ,所 以 鲁 棒 性 是 十 分 重要 的 ， 
此 时 ,隐藏 数据 量 的 要 求 居于 次 要 地 位 。 

2. 水 印 嵌入 算法 

水 印 嵌 人 算法 可 以 分 成 两 大 类 : 空间 域 算法 (水 印 被 直接 嵌入 在 图 像 的 亮度 值 上 ) 和 变 
换 域 算法 (将 图 像 做 某 种 数学 变换 ,然后 水 印 被 伐 入 于 变换 系数 中 ) 。 

目前 国内 外 的 典型 算法 有 以 下 几 种 : 

1) 最 低 有 效 位 算法 

最 低 有 效 位 算法 是 国际 上 最 早 提 出 的 数字 水 印 算法 ,是 一 种 典型 的 空间 域 信息 隐藏 算 
法 。 它 可 以 隐藏 较 多 的 信息 ,但 当 受 到 各 种 攻击 后 水 印 很 容易 被 移 去 。 

2) Patchwork 算法 

Patchwork 算法 是 麻 省 理工 大 学 多 媒体 实验 室 提 出 的 一 种 数字 水 印 算法 ,主要 用 于 打 
印 票 据 的 防伪 。 其 缺点 是 所 隐藏 的 数据 量 较 少 ,对 仿 射 变换 敏感 。 
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3) 基于 DCT 的 频 域 水 印 算法 

基于 DCT 的 频 域 水 印 算法 是 目前 研究 最 多 的 算法 ,具有 和 鲁 棒 性 强 、 隐 项 性 好 等 特点 ， 
可 以 与 JPEG MPEG 等 压缩 标准 的 核心 算法 相 结合 ,能 较 好 地 抵抗 有 损 压 缩 。 

4) 扩展 频谱 方法 

扩展 频谱 方法 是 扩 频 通信 技术 在 数字 水 印 中 的 应 用 ,其 特点 是 应 用 一 般 的 滤波 手段 无 
法 消除 水 印 。 

5) 小 波 变换 算法 

小 波 变换 算法 具有 空间 域 方 法 和 DCT 变换 域 方 法 的 优点 ,是 一 种 既 有 自 适应 功能 ,又 
有 重 棒 性 的 技术 ,缺点 是 计算 量 大 。 

3. 获 入 水 印 的 基本 原理 

所 有 戏 人 水 印 的 方法 都 包含 两 个 基本 的 构造 模块 : 水 印 戏 人 系统 和 水 印 恢复 系统 (水 
印 提取 系统 .水印 解码 系统 ) 。 

图 3-17 所 示 的 水 印 嵌 入 系统 ,其 输入 是 水 印 .载体 数据 和 一 个 可 选 的 公 钥 或 私 钥 。 水 
印 可 以 是 任何 形式 的 数据 ,如 数值 文本、 图 像 等 。 密 钥 可 用 来 加 强 安全 性 ,以 避免 未 授权 方 
恢复 和 修改 水 印 。 

图 3-18 所 示 的 水 印 恢复 系统 ,其 输入 是 已 嵌入 水 印 的 数据 . 公 钥 或 私 钥 ,输出 的 是 水 
印 , 它 表明 了 所 考察 数据 中 存在 给 定 水 印 。 


水 印 ite ae hy 
的 数 
小 体 数 据 加 入 水 印 后 的 数据 | 印 
ROSE! gee ERE 公 钥 / 私 钥 Kanam = 
公 钥 / 私 钥 一 一 一 
图 3-17 水 印 嵌入 系统 图 3-18 水 印 恢复 系统 


[BI 3-5] 使 用 AssureMark ik A BC 7k El, 
(1) 运行 AssureMark 软件 ,在 上 方 的 “模式 选择 ?中 选择 “嵌入 水 印 ? 模 式 , 如 图 3-19 
所 示 。 


§ AssureNark v1.0 试用 版 区 | 


模式 选择 
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输入 原始 图 全 。“ 卜 信息 对 抗 与 网 络 安全 \ 软 件 \ch3\test. bop 
输出 水 印 图 人 |testwn jpe 
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3-19 AssureMark 程序 运行 界面 
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(2) 单 击 “ 输 入 原始 图 像 * 文 本 框 右 侧 的 按钮 ,选择 原始 图 像 文 件 。 若 此 时 “水 印 容量 
( 字 节 )” 文 本 框 中 显示 为 0, 表 示 图 像 文件 过 小 ,可 以 使 用 ACDSee 的 Resize 功能 扩大 图 像 
文件 以 增 大 水 印信 息 容量 。 

(3) 单 击 “ 输 出 水 印 图 像 * 文 本 框 右 侧 的 按钮 . 填 和 人 输出 水 印 图 像 名 。 

(4) 在 “输入 水 印信 息 ” 编 辑 框 中 输入 水 印信 息 内 容 。 

(5) 在 “密码 ”文本 框 中 输入 密码 。 

(6) 单 击 * 谍 入 水 印 ? 按 钮 开始 嵌入 水 印 ,水印 宜 入 完毕 后 ,程序 显示 原始 图 像 和 水 印 图 
像 ,如 图 3-20 所 示 。 可 以 看 出 嵌入 水 印 图 像 后 画 质 没有 明显 受 损 。 


(a) 原始 图 像 


(b) 水 印 图 像 
3-20 ”原始 图 像 和 水 印 图 像 


【 例 3-6】 使 用 AssureMark 检测 文件 中 的 水 印信 息 。 
(1) 运行 AssureMark 软件 ,在 上 方 的 “模式 选择 ”中 选择 “检测 水 印 ” 模 式 。 
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(2) 单 击 “ 输 入 原始 图 像 " 文 本 框 右 侧 的 按钮 ,选择 被 检测 的 图 像 文 件 。 
G) 在 “密码 ”文本 框 中 输入 水 印 的 密码 ,如 图 3-21 所 示 。 
(4) 单 击 “ 检 测 水 印 ” 按 钮 ,水 印 检测 完毕 后 ,程序 显示 检测 结果 ,如 图 3-22 所 示 。 


§ Assureark v1.0 试用 版 加 
Cc KEN Q 检测 水 印 


ARNE FETRSARE RM as ect jpe | 
fae ee 提取 的 水 印信 息 


密码 
水 印 容量 5 字 节 ) a BRAD 637 x 488 
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检测 水 印 退出 
ABIURE vm mV" 
3-21 检测 水 印 3-22 MMAR 


3.4.3 视频 加 密 技术 


视频 信号 具有 数据 量 大 的 特点 ,在 实际 应 用 中 需要 压缩 编码 ,当前 应 用 广泛 的 标准 有 ， 
MPEG-1 .MPEG-2 .MPEG-4、H. 261、H. 263、H. 264 等 。 

MPEG H. 26x 都 按 层次 结构 组 织 图 像 数据 ,各 层 的 头 标志 是 规定 的 易于 从 数据 流 中 
分 辨 出 来 的 特殊 码 字 组 合 ,起 同步 .描述 数据 特征 等 作用 ,如 果 受 到 破坏 (加 密 ), 则 会 仿 碍 收 
方正 确 恢复 原 视频 图 像 。 

MPEG, H. 26x 都 采用 I( 帧 内 )、P( 预 测 )、B( 双 
向 预测 ) 三 种 帧 格式 组 成 编码 帧 序列 (MPEG-4 采用 
ee rh de te phn zau io ye 

顺 独 立 oP 帧 以 其 前 参考 ， jag 
计 和 补偿 技术 编码 本 帧 与 其 前 帧 相应 块 间 的 残 差 ,B EAC RAE RA 
帧 也 是 差 值 编码 ,与 了 帧 编码 不 同 的 是 要 同时 以 前 后 
WASE., PB 帧 都 不 是 独立 编码 ,其 编 解 码 要 依赖 
相应 的 1 帧 。 因 此 了 帧 比较 重要 ,对 帧 加 密 不 仅 影响 本 帧 解码 和 图 像 恢 复 ,也 影响 到 其 后 
的 PB 帧 解码 和 图 像 恢 复 。 与 编码 块 相对 应 的 前 后 帧 的 参考 块 由 运动 矢量 指示 ,改变 运动 
矢量 即 改变 参考 块 ,也 影响 P.B 帧 正确 解码 。 

当前 视频 压缩 编码 算法 主要 基于 DCT 变换 和 炉 编 码 ( 主 要 是 Huffman MARAT 
基本 算法 ,如 图 3.24 所 示 。 

视频 数据 一 般 分 成 8X 8 像素 块 ,经 DCT 变换 成 频 域 系数 ,直流 和 低频 系数 集中 了 大 部 
分 能 量 ,比较 重要 。8X8 视频 系数 通常 按 Zig-Zag 顺序 映射 成 1X 64 的 序列 ,低频 系数 在 
前 ,集中 了 主要 能 量 ,高 频 系数 在 后 ,大 部 分 接近 为 零 ,通过 量化 和 游程 编码 达到 压缩 的 


3-23 IPB 帧 格式 
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RGB 到 
RIG] |YcbcrcMYK Y Cr 
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—— 
每 个 图 像 平面 | 
| 每 个 DCT 一 量化 
| BXSR l -| 
口 -_DPCM Zig-Zag 
onor =e FA RE | 
算术 编码 | 上 一 


图 3-24 视频 压缩 编码 算法 框图 


目的 。 

改变 DCT 系数 的 顺序 ,能 改变 解码 图 像 , 但 会 降低 压缩 率 。Huffman 码 表 通 过 统计 码 
流 中 各 种 位 组 合 模 式 出 现 的 概率 制作 , 编 解 码 要 使 用 统一 的 Huffman 码 表 ,和 否则 不 能 正确 
解码 。 

下 面 是 一 些 常 见 的 视频 加 密 方法 。 

1. 传统 加 密 方法 

最 早 的 视频 加 密 方 法 ,对 全 部 视频 数据 流 直接 用 密码 技术 加 密 和 解密 ,易于 实现 ,在 目 
前 视频 加 密 方法 中 ,安全 性 最 高 。 但 是 由 于 视频 信号 数据 量 很 大 ,所 以 这 种 加 密 方法 计算 量 
非常 大 ,不 仅 浪 费 资 源 ,而 且 难 以 保证 实时 性 。 另 外 标志 信息 经 加 密 后 无 法 识别 ,不 能 实现 

2. 选择 性 加 密 方 法 

选择 性 加 密 是 基于 信 源 特征 的 视频 加 密 方法 的 主要 方向 ,只 对 选择 的 重要 数据 加 密 , 可 
分 为 以 下 几 类 : 

1) 仅 对 工 帧 加 密 

{LX} 1 Wl DCT 系数 块 加 密 , 具 有 扩散 作用 ,使 PB 帧 利用 运动 补偿 进行 差 值 编码 的 相 
应 块 不 加 密 也 难以 正确 解码 ,达到 了 选择 部 分 数据 加 密 减 少 计算 量 的 目的 。 该 算法 节约 加 
解密 时 间 30% ~ 50% ,提高 了 加 解密 速度 。 且 不 改变 原 视频 编码 数据 码 流量 大 小 ,不 影响 
压缩 率 。 但 这 种 算法 不 安全 ,在 保密 要 求 高 的 场合 中 不 能 单独 使 用 。 

2) 加 密 运动 矢量 

随机 改变 运动 矢量 的 符号 位 或 同时 改变 符号 位 和 数值 来 影响 P、B 帧 的 正确 解码 ,对 II 
帧 编 解 码 完全 没有 影响 , 故 不 能 单独 使 用 。 加 密 数据 量 小 ,计算 量 小 ,因而 速度 快 ,不 降低 编 
码 压 缩 率 。 

3) DCT 块 内 系数 分 层 加 密 

把 DCT 系数 从 低频 到 高 频 分 为 基本 层 、 中 间 层 和 增强 层 三 部 分 。 只 加 密 基 本 层 和 中 
间 层 ,可 以 减少 计算 量 , 保 证 基本 层 传 送 ,即使 中 间 层 和 增强 层 丢失 ,接收 方 也 能 显示 出 主要 
信息 。 该 算法 只 对 部 分 DCT 系数 加 密 ,减少 了 计算 量 。 
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4) 仅 加 密 头 信息 

将 头 信息 加 密 , 再 与 其 他 数据 随机 混合 ,使 接收 方 难以 按 原 数 据 结 构 区 分 结构 信息 和 视 
频 信息 并 解码 。 该 算法 不 降低 压缩 率 , 计 算 量 小 。 但 是 安全 性 较 低 ,因为 头 信息 所 含 信 息 量 
小 ,加 密 效率 低 , 这 种 加 密 方式 比较 容易 破解 。 为 便于 合法 接收 方 解 码 , 需 加 入 同步 信息 ,或 
保留 原来 部 分 同步 信息 。 

3. Zig-Zag 置 乱 算法 

Zig-Zag 置 乱 算法 的 基本 思想 是 : 使 用 一 个 随机 的 置 乱 序 列 来 代替 Zig-Zag 扫描 顺序 ， 
将 各 个 8X8 HAY DCT 系数 映射 成 一 个 1X64 RE. 

Zig-Zag 置 乱 算法 速度 很 快 ,不 影响 视频 的 实时 传输 。 但 是 经 过 加 密 的 MPEG 流 将 显 
著 增 大 ,最 大 可 增加 46% , 且 有 严重 的 安全 性 问题 。 

4. 改变 Huffman 码 表 算法 

将 通用 Huffman 码 表 修改 (加 密 ) 后 使 用 ,并 将 其 作为 密 钥 。 非 法 接收 方 无 此 特殊 码 
表 , 不 能 正确 解码 。 该 算法 完全 不 增加 计算 量 , 适 用 于 使 用 Huffman 编码 的 各 种 视频 和 图 
像 压缩 编码 标准 和 算法 ,其 缺点 是 安全 性 较 差 。 

5. 基于 统计 规律 的 视频 加 密 算法 (VEA Bik) 

该 方法 不 加 密 头 信息 结构 格式 等 数据 ,只 加 密 图 像 数 据 本 身 。 将 待 加 密 数据 分 为 两 半 ， 
一 半 用 密码 方法 加 密 , 另 一 半 用 简单 异 或 ,因此 总 体 减 少 了 计算 量 ,提高 了 计算 速度 。 

该 方法 不 影响 压缩 率 , 适 用 于 压缩 的 视频 编码 数据 ,而 且 压 缩 效 果 越 好 ,加 密 效果 也 
越 好 。 

【 例 3-7】 使 用 “多 媒体 文件 加 密 器 ”加 密 视频 文件 。 

(1) 运行 程序 ,界面 如 图 3-25 所 示 。 


- = 多 所 体 文件 加 密 器 离线 授权 版 2.0.1 = A 58 
(See | amx | 参数 设置 | eessen | 关于 | 


Fees OoOO o 
ESRI.. cme [| «7s 
C 取 文 件 名 作 产品 编号 


请 指定 加 密 密 钥 用 户 自行 指定 口 备份 原文 件 为 [bak] 
如 果 您 希望 用 户 可 以 免费 试看 或 试听 部 分 片段 ， 请 指定 免费 种 数 0 FL) 种 
选择 加 密 方式 

C 加 窗 后 的 文件 必须 输入 密码 才能 播放 不 限制 电脑 ] 执行 加 密 
加 窗 后 的 文件 不 同 电脑 需要 不 同 的 播放 密码 


图 3-25 多 媒体 文件 加 密 器 界面 


(2) 单 击 “ 选 择 & 添加 文件 ”按钮 ,选择 要 加 密 的 文件 。 在 “请 指定 加 密 密 钥 ” 文 本 框 中 
输入 密码 ,如 test1234, 单 击 “ 执 行 加 密 ” 按 钮 ,系统 进行 加 密 , 如 图 3-26 所 示 。 
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加害 信息 x 
axes 
成 功 加 客 文 件数 [1 文本 文件 与 Ex 文件 自动 跳 过 ] 
当前 处 理 [3wmv ] 


Rai °° | 
MERR 
图 3-26 多 媒体 文件 加 密 器 界面 


(3) 单 击 “ 加 密 完成 ”按钮 ,完成 加 密 。 用 户 得 到 加 密 文件 后 ,双击 该 文件 ,出 现 如 图 3-27 
所 示 的 “播放 授权 信息 ”对 话 框 。 


a8 


区 二 

我 们 的 多 媒体 产品 在 要 播放 实 码 才 可 以 播 放 ，。 产品 编号 

请 通过 以 下 方式 奖 得 播放 灾 玛 

方式 1 : 汇款 到 = 做 户 ， 到 款 后 我 们 会 及 时 交 
es 你 的 电脑 标识 


snes 请 到 hup.//wwwvw co 支付 后 ， 立 即 获得 
ae 请 输入 措 放 密码 


确定 | 退出 
图 3-27 “播放 授权 信息 "对话 框 


(4) 用 户 复制 "您 的 电脑 标识 "文本 框 中 的 内 容 ,发 送 给 加 密 者 。 
(5) 加 密 者 单 击 “ 多 媒体 文件 加 密 器 ”的 “创建 播放 密码 ”选项 卡 ,输入 加 密 时 的 密码 和 
用 户 标识 ,如 图 3-28 所 示 。 


= ERE PEE ERRUR. 0.1 PEA 
ems | 。 还 原文 件 | 参数 设置 创建 播放 窍 吗 | xF | 
| 为 用 户 创建 播放 密码 


请 输入 加 密 时 使 用 的 密 钥 
test1234 


请 输入 用 户 的 电脑 标识 


厂 为 用 户 创 建 机 器 无 关 性 播放 密码 


创建 播放 客 码 


播放 密码 为 ; 


[files 


图 3-28 “创建 播放 密码 ”选项 卡 


(6) 单 击 “ 创 建 播放 密码 ”按钮 ,产生 针对 该 用 户 计算 机 的 播放 密码 ,如 图 3-29 所 示 。 
(7) 将 该 密码 发 送 给 用 户 , 用 户 在 图 3-27 的 “请 输入 播放 密码 ”文本 框 中 输入 上 述 “ 播 
放 密 码 ”, 单 击 “ 确 定 ” 按 钮 ,实现 视频 播放 。 
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=EEEEE 多 媒体 文 件 加 霹 器 离线 授权 版 42EEE ~ LX 
文件 加 密 | amx | 参数 设置 创建 播放 密码 | 关于 
为 用 户 创建 播放 密码 
请 输入 加 密 时 使 用 的 密 宜 
test1234 | 
请 输入 用 户 的 电脑 标识 
0daazd67c6 


厂 为 用 户 创建 机 器 无 关 性 播放 密码 


创建 播放 密码 


措 放 密码 为 : 
ET 


lifiles 


图 3-29 创建 播放 密码 
J w 


简 述 通信 保密 的 基本 要 求 。 


. 简 述 网 络 通信 保密 的 基本 方法 。 

. 信息 隐藏 技术 与 加 密 技 术 的 区 别 是 什么 ? 

. 上 机 实现 基于 文本 的 信息 隐藏 。 

. 使 用 Easycode 将 一 幅 GIF 格式 图 片 隐藏 在 另 一 幅 JPEG 格式 图 片 中 。 


上 机 实现 基于 声音 的 信息 隐藏 。 
什么 是 窃听 、` 反 窃听 、 防 窃听 ? 


. 简 述 话音 保密 技术 。 

. 简 述 无 线 通信 保密 技术 。 

. 什么 是 图 像 置 乱 、 分 存 、 隐 藏 技术 ? 
. 数字 水 印 技术 的 基本 特征 有 哪些 ? 
. 上 机 实现 数字 水 印 的 伐 入 与 检测 。 
. 常见 的 视频 加 密 方法 有 哪些 ? 

. 上 机 实现 对 视频 的 加 密 。 


第 4 音 计算 机 网 络 安全 技术 


随 着 社会 和 技术 的 进步 ,信息 安全 也 有 一 个 发 展 的 过 程 , 一 般 将 信息 安全 的 发 展 分 成 三 
个 阶段 , 即 通信 安全 .计算 机 安全 和 网 络 安全 。 

通信 安全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 措施 是 密码 技术 。 

计算 机 安全 的 主要 目的 是 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 ,主要 措施 是 根据 
主 \ 客 体 的 安全 级 别 ,正确 实施 主体 对 客体 的 访问 控制 。 

网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 和 信息 的 处 理 \ 传 输 、 存 储 , 访 问 提供 安全 保 
护 ,以 防止 信息 被 非 授 权 使 用 或 自 改 。 网 络 安全 的 主要 目的 是 解决 在 分 布 网 络 环境 中 对 信 
息 载 体 及 其 运行 提供 的 安全 保护 ,主要 措施 是 提供 完整 的 信息 安全 保障 体系 ,包括 防护 、 检 
测 、 响 应 ,恢复 。 

维护 信息 载体 的 安全 就 要 抵抗 对 网 络 和 系统 的 安全 威胁 。 这 些 安全 威胁 包括 物理 侵犯 
(如 机 房 侵入 .设备 偷窃 .废物 搜寻 ,电子 干扰 等 ) ,系统 漏洞 (如 旁 路 控制 ,程序 缺陷 等 ) ,网 络 
入 侵 ( 如 窃听 ,截获 .堵塞 等 ) ,恶意 软件 (如 病毒 . 肾 虫 ,特洛伊 木马 ,炸弹 等 ) ,存储 损坏 (如 老 
化 、 破 损 等 ) 等 。 为 抵抗 对 网 络 和 系统 的 安全 威胁 ,通常 采取 的 安全 措施 包括 门 控 系 统 、 防 火 
墙 、 防 病毒 .人 侵 检测 ,漏洞 扫描 、 存 储备 份 .日 志 审 计 、 应 急 响应 ,灾难 恢复 等 。 

维护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 威胁 。 这 些 安全 威胁 包括 身份 假冒 .非法 
访问 、 信 息 泄露 数据 受 损 、 事 后 否认 等 。 为 抵抗 对 信息 的 安全 威胁 ,通常 采取 的 安全 措施 包 
括 身 份 鉴别 ,访问 控制 .数据 加 密 、 数 据 验证 、 数 字 签 名 、 内 容 过 滤 、 日 志 审 计 、 应 急 响 应 、 灾 难 


4.1 计算 机 安全 问题 


在 计算 机 和 计算 机 网 络 迅 速 发 展 的 同时 , 它 也 正 日 益 成 为 不 法 分 子 攻击 的 首要 目标 。 
4.1.1 计算 机 犯罪 类 型 


随 着 科学 技术 的 进步 ,计算 机 及 网 络 技术 得 到 了 飞速 的 发 展 , 同 任何 技术 一 样 ,计算 机 
技术 也 是 一 柄 双 刃 剑 , 一 方面 极 大 地 促进 了 社会 生产 力 的 发 展 ; 但 同时 ,五 花 八 门 的 计算 机 
犯罪 也 随 之 产生 : 黑客 的 擅自 和 人 侵 ,计算 机 病毒 的 擅自 制造 及 传播 ,国家 秘密 情报 或 者 军事 
机 密 的 泄漏 ,网 络 资源 遭 到 破坏 攻击 并 导致 信息 系统 瘫痪 等 现象 层出不穷 。 

利用 计算 机 进行 犯罪 活动 是 从 20 世纪 60 年 代 末 开 始 出 现 的 ,计算 机 犯罪 指 以 计算 机 
为 工具 或 以 计算 机 资产 为 对 象 (包括 硬件 系统 、 软 件 系 统 和 机 时 、 网 上 资源 等 ) 实 施 的 犯罪 
行为 。 

计算 机 犯罪 的 主要 类 型 包括 : 

© 对 程序 .数据 ,存储 介质 的 物理 性 破坏 。 
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窃取 或 转卖 信息 资源 。 

。 盗用 计算 机 机 时 。 

。 利用 系统 中 存在 的 程序 或 数据 错误 ,进行 非法 活动 。 
非法 进行 程序 修改 活动 。 

信用 卡 方面 的 计算 机 犯罪 。 

4.1.2 计算 机 犯罪 手段 


计算 机 犯罪 手段 包括 数据 欺骗 .数据 泄露 .间接 穷 取 信息 、 特 洛 伊 木马 、 超 级 冲 杀 、 活 动 
天 窗 、 俱 辑 炸弹 ,浏览 , 冒 名 顶 蔡 蠕虫 等 。 

CL) 数据 欺骗 : 在 计算 机 系统 中 ,非法 算 改 输入 输出 数据 。 

(2) 数据 泄露 : 有 意 转 移 或 窃取 信息 的 一 种 手段 。 

G) 间接 窃取 信息 : 利用 统计 数据 推导 机 密 信息 。 

(4) 特洛伊 木马 : 在 程序 中 暗中 存放 秘密 指令 ,使 计算 机 在 仍 能 完成 原先 指定 任务 的 
情况 下 ,执行 非 授 权 的 功能 。 

(5) 超级 冲 杀 : 是 一 个 当 计算 机 停机 、 出 现 故障 或 其 他 需要 人 为 干预 时 计算 机 的 系统 
干预 程序 , 它 相 当 于 系统 的 一 把 总 开关 钥匙 。 如 果 被 非 授 权 用 户 使 用 ,就 构成 了 对 系统 的 潜 
在 威胁 。 

(6) 活动 天 窗 : 利用 人 为 设置 的 窗口 ,通常 指 故意 设置 的 入 口 点 ,侵入 系统 。 通 过 入 口 
点 可 以 进入 大 型 应 用 程序 或 操作 系统 ,在 排 错 、 修 改 和 重新 启动 的 时 候 ,可 以 通过 这 些 窗口 
访问 有 关 程 序 , 而 罪犯 则 可 利用 它 来 寻找 系统 软件 的 薄弱 环节 ,进行 非法 侵入 活动 。 

(7) 逻辑 炸弹 : 插入 程序 编码 ,这 些 编码 仅 在 特定 时 刻 或 特定 条 件 下 执行 , 故 称 为 逻辑 
炸弹 或 定时 炸弹 。 逻 辑 炸弹 的 关键 是 特定 条 件 下 的 程序 激活 ,计算 机 病毒 的 可 激活 特征 , 实 
际 上 就 是 一 个 逻辑 炸弹 。 

(8) 浏览 : 在 系统 或 终端 设备 上 ,利用 合法 使 用 手段 进行 搜索 或 访问 一 些 非 授 权 文件 。 
例如 在 存储 区 搜索 某 些 有 兴趣 或 有 潜在 极 值 的 东西 ,或 利用 合法 访问 系统 指定 文件 的 机 会 ， 
趁机 访问 非 授 权 文件 ,这 些 都 是 以 正常 操作 为 掩护 所 进行 的 非法 活动 。 

CO) 冒名 顶替 : 利用 窃取 用 户 的 口令 ,冒名 窃取 信息 ,或 者 当 一 个 用 户 在 用 口令 进入 工 
作 状 态 后 临时 短暂 离开 ,就 会 被 他 人 以 用 户 身份 获取 信息 或 数据 。 

C10) 蠕虫 : 通过 网 络 来 扩散 错误 ,进而 危害 整个 系统 。 在 分 布 式 系统 中 ,可 通过 网 络 
来 传播 错误 ,进而 造成 网 络 服务 发 生死 锁 。 通 常 需要 重新 启动 系统 才能 排除 蠕虫 对 系统 的 
恶性 作用 。 


4.1.3 计算 机 安全 保护 


1. 计算 机 安全 保护 的 目标 

计算 机 安全 需要 保护 的 目标 很 多 ,包括 : 内 外 存 上 的 文件 系统 和 数据 ,内 存 中 的 执行 程 
序 和 有 关 数 据 \ 文 件 目录 、 硬 件 设备 .数据 结构 (如 堆栈 )、 操 作 系 统 的 指令 (特别 是 特权 指 
令 ) .通行 字 、 用 户 鉴别 机 制 和 保护 机 制 本身 。 

2. 计算 机 安全 保护 的 目的 

计算 机 系统 安全 保护 的 主要 目的 是 保护 存储 在 系统 中 的 和 在 网 络 中 传输 的 信息 ,同时 
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保护 系统 不 受 破坏 ,体现 在 系统 的 六 个 基本 特性 : 保密 性 .完整 性 .可 用 性 .可 核查 性 .可 靠 
性 和 可 控 性 。 
1) 保密 性 
保密 性 指 防止 信息 泄露 给 非 授 权 个 人 或 实体 ,信息 只 为 授权 用 户 使 用 的 特性 ,是 信息 安 
全 的 基本 要 求 。 保 密 性 包括 对 传输 的 信息 、 对 存储 的 信息 进行 加 密 保 护 , 还 要 防止 因 电磁 信 
息 泄露 带 来 的 失 密 。 
常用 的 保密 技术 包括 : 
。 防 侦查 : 使 对 手 侦查 不 到 有 用 的 信息 。 
。 防 辐射 : 防止 有 用 信息 以 各 种 途径 辐射 出 去 。 
。 信息 加 密 : 在 密 钥 的 控制 下 ,用 加 密 算法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 加 
密 后 的 信息 ,也 会 因为 没有 密 钥 而 无 法 解读 有 效 信息 。 
。 物理 保密 : 利用 各 种 物理 方法 ,如 限制 隔离、 掩蔽、 控制 等 措施 ,保护 信息 不 被 
泄露 。 
2) 完整 性 
所 谓 完 整 性 ,就 是 要 防止 信息 被 非法 复制 、 非 授权 地 修改 或 破坏 , 即 网 络 信息 在 存储 或 
传输 过 程 中 保持 不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 
完整 性 包括 数据 完整 性 .软件 完整 性 .操作 系统 的 完整 性 .内 外 存 完 整 性 .信息 交换 的 真实 性 
和 有 效 性 。 
完整 性 与 保密 性 不 同 ,保密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信息 不 
会 受到 各 种 原因 的 破坏 。 
影响 网 络 信息 完整 性 的 主要 因素 有 : 设备 故障 、 误 码 ( 包 括 传输 、 处 理 和 存储 过 程 中 产 
生 的 误 码 , 稳 定 度 和 精度 降低 造成 的 误 码 ,各 种 干扰 源 造成 的 误 码 等 )、 人 为 攻击 、 计 算 机 病 
保障 完整 性 的 主要 方法 有 : 
。 协议 : 通过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段 、 失 效 的 
字段 和 被 修改 的 字段 。 
。 纠 错 编码 方法 : 完成 检 错 和 纠 错 功 能 ,最 简单 和 常用 的 纠 错 编码 方法 是 奇偶 校 
验 法 。 
。 密码 校 验 和 方法 : 它 是 抗 自 改 的 重要 手段 。 
。 数字 签名 : 保障 信息 的 真实 性 。 
。 公证: 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 的 真实 性 。 
3) 可 用 性 
可 用 性 是 系统 面向 用 户 的 安全 性 能 , 它 保证 系统 资源 能 随时 随地 地 、 持 续 地 为 合法 用 户 
提供 服务 。 对 合法 用 户 不 应 发 生 拒绝 服务 或 间断 服务 , 既 要 防止 非法 者 进入 系统 ,还 要 拒绝 
合法 用 户 对 资源 的 非法 操作 和 使 用 。 
4) 可 核查 性 
可 核查 性 也 称 不 可 抵赖 性 ,能 够 确保 参与 者 的 真实 性 ,使 所 有 参与 者 都 不 可 能 否认 或 抵 
赖 曾经 完成 的 操作 和 承诺 。 
可 核查 性 通过 信息 源 证 据 来 防止 发 信 方 不 真实 地 否认 已 发 送信 息 ; 利用 递交 接收 证 据 
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来 防止 收 信 方 事后 否认 已 经 接收 的 信息 。 

5) 可 靠 性 

可 靠 性 是 系统 在 规定 条 件 下 和 规定 时 间 内 完成 规定 功能 的 特性 , 它 是 系统 安全 的 最 基 
本 要 求 之 一 ,是 所 有 网 络 信息 系统 建设 和 运行 的 目标 。 

增加 可 靠 性 的 具体 措施 包括 : 提高 设备 质量 .严格 质量 管理 .配备 必要 的 元 余 和 备份 、 
采用 容错 纠 错 和 自 愈 等 措施 .选择 合理 的 拓扑 结构 和 路 由 分 配 .强化 灾害 恢复 机 制 、. 分 散 配 
置 负荷 等 。 

6) 可 控 性 

可 控 性 是 对 网 络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 

概括 地 说 ,网 络 信息 安全 与 保密 的 核心 是 通过 计算 机 、 网 络 .密码 技术 和 安全 技术 ,保护 
在 公用 网 络 信息 系统 中 传输 .交换 和 存储 信息 的 保密 性 完整 性 .真实 性 .可靠 性 .可 用 性 、 不 
可 抵赖 性 等 。 


4.1.4 一 般 安全 问题 


计算 机 网 络 面临 的 一 般 安全 问题 包括 物理 安全 ,安全 控制 和 安全 服务 。 

物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 的 网 络 信息 的 安全 保护 。 安 全 控制 是 指 
在 网 络 信息 系统 中 对 存储 和 传输 信息 的 操作 和 进程 进行 控制 和 管理 ,重点 是 在 网 络 信息 处 
理 层次 上 对 信息 进行 初步 的 安全 保护 。 安 全 服务 是 指 在 应 用 程序 层 对 网 络 信息 的 保密 性 、 
完整 性 和 信 源 的 真实 性 进行 保护 和 鉴别 ,满足 用 户 的 安全 需求 ,防止 和 抵御 各 种 安全 威胁 和 
攻击 手段 。 

1. 物理 安全 

物理 安全 常见 的 不 安全 因素 包括 三 大 类 。 

(1) 第 一 类 不 安全 因素 包括 自然 灾害 (如 地 震 、 火 灾 、 洪 水 等 ) 物理 损坏 (如 硬盘 损坏 、 
设备 使 用 寿命 到 期 .外 力 破损 等 ) 、 设 备 故 障 (如 停电 断 电 、 电 磁 干 扰 等 )。 其 特点 是 突 发 性 、 
自然 性 , 非 针 对 性 。 它 们 对 网 络 信息 的 完整 性 和 可 用 性 威胁 最 大 ,对 网 络 信息 的 保密 性 影响 
较 小 ,因为 在 一 般 情 况 下 ,物理 上 的 破坏 将 销毁 网 络 信息 本 身 。 针 对 第 一 类 不 安全 因素 的 解 
决 方法 包括 : 采取 各 种 防护 措施 、 制 定安 全 规章 、 随 时 备份 数据 等 。 

(2) 第 二 类 不 安全 因素 包括 电磁 辐射 (如 侦 听 微机 操作 过 程 ) 、 乘 机 而 入 (如 合法 用 户 进 
入 安全 进程 后 半途 离开 ) 痕迹 泄露 (如 口令 密 钥 等 保管 不 善 , 被 非法 用 户 获 得 )。 其 特点 是 
隐蔽 性 .人 为 实施 的 故意 性 、 信 息 的 无 意 泄露 性 。 它 们 主要 破坏 网 络 信息 的 保密 性 ,对 网 络 
信息 的 完整 性 和 可 用 性 影响 不 大 。 针 对 第 二 类 不 安全 因素 的 解决 方法 包括 : 采取 辐射 防 
P .屏幕 口令 .隐藏 销毁 等 手段 。 

(3) 第 三 类 不 安全 因素 包括 操作 失误 (如 偶然 删除 文件 .格式 化 硬盘 、 线 路 拆除 等 ) 、 意 
外 牙 漏 (如 系统 掉 电 “死机 ?等 )。 其 特点 是 人 为 实施 的 无 意 性 和 非 针 对 性 。 它 们 主要 破坏 
网 络 信息 的 完整 性 和 可 用 性 ,对 保密 性 影响 不 大 。 针 对 第 三 类 不 安全 因素 的 解决 方法 包括 
状态 检测 ,报警 确认 应急 恢复 等 。 

2. 安全 控制 

安全 控制 可 以 分 为 三 个 层次 。 
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(1) 第 一 层次 是 操作 系统 的 安全 控制 ,包括 : 对 用 户 的 合法 身份 进行 核实 (如 开机 时 要 
求 输入 口令 ) 、 对 文件 读 写 存 取 的 控制 (如 文件 属性 控制 机 制 )。 此 类 安全 控制 主要 保护 被 存 
储 数据 的 安全 。 

(2) 第 二 层次 是 网 络 接口 模块 的 安全 控制 ,在 网 络 环境 下 对 来 自 其 他 机 器 的 网 络 通信 
进程 进行 安全 控制 ,主要 包括 身份 认证 、 客 户 权限 设置 与 判别 .审计 日 志 等 。 
(3) 第 三 层次 是 网 络 互 联 设备 的 安全 控制 ,对 整个 子 网 内 所 有 主机 的 传输 信息 和 运行 
状态 进行 安全 监测 和 控制 。 此 类 控制 主要 通过 网 管 软 件 或 路 由 器 配置 实现 。 

3. 安全 服务 

安全 服务 可 以 在 一 定 程 度 上 弥补 和 完善 现 有 操作 系统 和 网 络 信息 系统 的 安全 漏洞 。 安 
全 服务 的 主要 内 容 包 括 : 安全 机 制 .安全 连接 .安全 协议 .安全 策略 等 。 

1) 安全 机 制 

利用 密码 算法 对 重要 而 敏感 的 数据 进行 处 理 。 包 括 以 保护 网 络 信息 保密 性 为 目标 的 数 
据 加 密 和 解密 ; 以 保证 网 络 信息 来 源 真 实 性 和 合法 性 为 目标 的 数字 签名 和 签名 验证 ; 以 保 
护 网 络 信息 完整 性 ,防止 和 检测 数据 被 修改 .插入 \ 删除 和 改变 的 信息 认证 等 。 

安全 机 制 是 安全 服务 乃至 整个 网 络 信息 安全 系统 的 核心 和 关键 ,现代 密码 学 在 安全 机 
制 的 设计 中 扮演 着 重要 的 角色 。 

2) 安全 连接 

安全 连接 主要 包括 会 话 密 钥 的 分 配 .生成 和 身份 验证 。 身 份 验证 旨 在 保护 信息 处 理 和 
操作 双方 的 身份 真实 性 和 合法 性 。 

3) 安全 协议 

协议 是 多 个 使 用 方 为 完成 某 些 任务 所 采取 的 一 系列 的 有 序 步 又。 安全 协议 使 网 络 环境 
下 互 不 信任 的 通信 方 能 够 相互 配合 ,并 通过 安全 连接 和 安全 机 制 的 实现 来 保证 通信 过 程 的 
安全 性 .可靠 性 和 公平 性 。 

4) 安全 策略 

安全 策略 是 安全 体制 .安全 连接 和 安全 协议 的 有 机 组 合 , 是 网 络 信息 系统 安全 性 的 完整 
解决 方案 。 安 全 策略 决定 了 网 络 信息 安全 系统 的 整体 安全 性 和 实用 性 ,不 同 的 网 络 信息 系 
统 和 不 同 的 应 用 环境 需要 不 同 的 安全 策略 。 


4.1.5 安全 威胁 


网 络 信息 的 安全 与 保密 所 面临 的 威胁 可 以 宏观 地 分 为 自然 威胁 和 人 为 威胁 。 人 为 威胁 
通过 攻击 系统 暴露 的 要 害 或 弱点 ,使 网 络 信息 的 保密 性 、 完 整 性 .可 靠 性 .可 控 性 .可 用 性 等 
受到 伤害 。 

人 为 威胁 又 分 为 两 种 ,一 种 是 以 操作 失误 为 代表 的 无 意 威胁 (偶然 事故 ) , 另 一 种 是 以 计 
算 机 犯罪 为 代表 的 有 意 威胁 (恶意 攻击 ) 。 

恶意 攻击 包括 主动 攻击 和 被 动 攻击 ,被动 攻击 比 主动 攻击 隐蔽 性 强 , 不 易 被 察觉 ,危害 
HEER., 

。 主动 攻击 : 有 选择 地 修改 、 删 除 、 添 加 、 伪 造 和 重 排 信息 内 容 , 造 成 信息 破坏 。 

。 被 动 攻击 : 在 不 干扰 网 络 信息 系统 正常 工作 的 情况 下 ,进行 侦 收 截获, 窃取 、 破 译 、 

业务 流量 分 析 及 电磁 泄漏 等 。 
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常见 的 恶意 攻击 包括 窃听 .流量 分 析 ,假冒 .拒绝 服务 .干扰 ,病毒 .资源 的 非 授 权 使 用 、 
利用 陷 门 进行 攻击 等 。 

1. 窃听 

在 广播 式 网 络 信息 系统 中 ,每 个 结 点 都 能 读 取 网 上 的 数据 。 对 广播 网 络 的 同 轴 电 缆 或 
双 绞 线 进行 搭 线 窃听 ,很 容易 实现 上 且 不 易 被 发 现 。 

2. 流量 分 析 

通过 对 网 上 信息 流 的 观察 和 分 析 ,推断 出 网 上 的 数据 信息 ,如 有 无 传输 、 传 输 的 数量 、 方 
向 、 频 率 等 。 

3. 利用 陷 门 进行 攻击 

所 谓 陷 门 是 指 一 个 程序 模块 的 秘密 的 ,未 记 入 文档 的 入 口 。 一 般 陷 门 是 在 程序 开发 时 
插入 的 一 小 段 程序 ,其 目的 是 测试 这 个 模块 ,或 者 是 为 了 连接 将 来 的 更 改 和 升级 程序 ,或 者 
是 为 了 将 来 发 生 故 障 后 为 程序 员 提 供 方便 等 。 通 常 在 程序 开发 后 期 将 去 掉 这 些 陷 门 , 但 是 
由 于 各 种 有 意 或 无 意 的 原因 , 陷 门 也 可 能 被 保留 下 来 。 

下 面 介 绍 常见 的 陷 门 实例 。 

1) 逻辑 炸弹 

在 网 络 软 件 ( 如 程控 交换 机 的 软件 ) 预 留 隐 向 的 对 日 期 敏感 的 定时 炸弹 。 在 一 般 情况 
下 ,网 络 处 于 正常 工作 状态 ,一 旦 到 了 某 个 预定 的 日 期 ,程序 便 自动 跳 到 死 循 环 程序 ,造成 死 
机 甚至 网 络 瘫痪 。 

2) 远程 维护 

某 些 通信 设备 (如 数字 程控 交换 机 ) 具 有 远程 维护 功能 ,可 以 通过 远程 终端 ,由 公开 预 贸 
的 接口 进入 系统 ,完成 维护 检修 任务 。 这 种 功能 在 带 来 明显 的 维护 管理 便利 的 同时 ,也 带 来 
了 一 种 潜在 的 威胁 ,在 特定 情况 下 ,可 以 形成 潜在 的 攻击 。 

3) 贪 焚 程 序 

一 般 程序 都 有 一 定 的 执行 时 限 ,如果 程序 被 有 意 或 错误 地 更 改 为 贪 禁 程序 或 循环 程序 ， 
或 被 植 人 某 些 病毒 (如 蠕虫 病毒 ) ,那么 此 程序 将 会 长 期 占用 机 时 ,造成 意外 阻塞 ,使 合法 用 
户 被 排挤 在 外 不 能 得 到 服务 。 

4) 遥控 旁 路 

某国 向 我 国 出 口 的 一 种 传真 机 ,其 软件 可 以 通过 遥控 将 加 密 接 口 旁 路 ,从 而 失去 加 密 功 
能 ,造成 信息 泄露 ,如 图 4-1 所 示 。 

电子 耦合 


传真 机 


加 密 信号 和 原始 的 未 加 
密 信号 都 在 电话 线 上 


图 4-1 遥控 旁 路 传真 机 
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4.1.6 黑客 入 侵 攻 击 


黑客 人 侵 攻 击 的 过 程 可 归纳 为 以 下 9 个 步骤 : 踩点 、 扫 描 、 查 点 、 获 取 访 问 权 、 权 限 提 
升 、 窃 取 、 掩 盖 踪 迹 、 创 建 后 门 .拒绝 服务 攻击 。 

1 踩点 

“踩点 ?原意 为 策划 一 项 盗窃 活 动 的 准备 阶段 ,在 黑客 攻击 领域 “踩点 ”是 传统 概念 的 电 
子 化 形式 .。“ 踩 点 ”的 主要 目的 是 获取 目标 的 IP 地 址 范围 .DNS 服务 器 地 址 .邮件 服务 器 地 
址 等 信息 。 

2. 扫描 

通过 踩点 获得 一 定 信息 后 ,下 一 步 需要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 ,以 及 
它们 提供 哪些 服务 。 扫 描 的 主要 目的 是 使 攻击 者 对 攻击 的 目标 系统 所 提供 的 各 种 服务 进行 
评估 ,以 便 集中 精力 在 最 有 和 希望 的 途径 上 发 动 攻击 。 

3. BA 

通过 扫描 ,和 人 侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 步 工作 是 查 点 。 查 点 就 是 搜 
索 特 定 系统 上 用 户 名 、 路 由 表 、 共 享 资源 、 服 务 程序 等 信息 。 

4. 获取 访问 权 

在 搜集 到 目标 系统 的 足够 信息 后 ,下 一 步 要 完成 的 工作 自然 是 得 到 目标 系统 的 访问 权 ， 
进而 完成 对 目标 系统 的 人 侵 。 对 于 Windows 系统 采用 的 主要 技术 有 密码 猜测 、 窃 听 、 攻 击 
Web 服务 器 及 远程 缓冲 区 溢出 等 。 

5. 权限 提升 

一 且 攻 击 者 通过 前 面 4 步 获 得 了 普通 用 户 的 访问 权限 后 ,攻击 者 就 会 试图 将 普通 用 户 
权限 提升 至 超级 用 户 权限 ,以 便 完 成 对 系统 的 完全 控制 。 这 种 从 一 个 较 低 权限 开始 ,通过 各 
种 攻击 手段 得 到 较 高 权限 的 过 程 称 为 权限 提升 。 权 限 提升 所 采取 的 技术 是 通过 得 到 的 密码 
文件 ,利用 现 有 工具 软件 ,破解 系统 上 其 他 用 户 名 和 口令 。 

6. 窃取 

一 且 攻 击 者 得 到 了 系统 的 完全 控制 权 , 接 下 来 将 完成 的 工作 是 窃取 , 即 进行 一 些 敏 感 数 
据 的 自 改 添加、 删除 及 复制 (例如 Windows 系统 的 注册 表 ) 。 通 过 对 人 敏感 数据 的 分 析 ,为 进 
一 步 攻击 应 用 系统 做 准备 。 

7. 掩盖 踪迹 

黑客 并 非 踏 雪 无 痕 , 一 旦 黑客 人 侵 系统 ,必然 留 下 痕迹 。 此 时 ,黑客 需要 做 的 首要 工作 
就 是 清除 所 有 和 人 侵 痕迹 ,避免 自己 被 检测 出 来 ,以 便 能 够 随时 返回 被 人 侵 系 统 继续 干 坏事 或 
作为 人 侵 其 他 系统 的 中 继 跳 板 。 掩 盖 踪 迹 的 方法 有 禁止 系统 审计 、 清 空 事件 日 志 、 隐 藏 作案 
工具 等 。 

8. 创建 后 门 

黑客 的 最 后 一 招 便 是 在 受害 系统 上 创建 一 些 后 门 及 陷阱 ,以 便 入 侵 者 能 以 特权 用 户 的 
身份 控制 整个 系统 。 创 建 后 门 的 主要 方法 有 创建 具有 特权 用 户 权限 的 虚假 用 户 账号 安装 
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批 处 理 .安装 远 程控 制 工具 、 使 用 木马 程序 蔡 换 系 统 程序 等 。 

9. 拒绝 服务 攻击 

如 果 黑 客 未 能 成 功 地 完成 第 4 步 的 获取 访问 权 , 那 么 他 们 所 能 采取 的 最 恶毒 的 手段 便 
是 进行 拒绝 服务 攻击 。 即 使 用 精心 准备 好 的 漏洞 代码 攻击 系统 使 目标 服务 器 资源 耗 尽 或 资 
源 过 载 ,以 至 于 没有 能 力 再 向 外 提供 服务 。 攻 击 所 采用 的 方法 是 利用 协议 漏洞 和 系统 漏洞 。 


4.1.7 常用 黑客 软件 及 其 分 类 


要 实现 人 侵 攻 击 ,需要 专门 的 工具 ; 而 防范 入 侵 攻击 ,也 需要 相应 的 工具 。 
1. 按 性 质 分 类 


1) 扫描 类 软件 

通过 扫描 程序 ,黑客 可 以 找到 攻击 目标 的 IP 地 址 .开放 的 端口 号 .服务 器 运行 的 版 本 、 
程序 中 可 能 存在 的 漏洞 等 。 

扫描 器 好 比 黑客 的 眼睛 , 它 可 以 让 黑客 清楚 地 了 解 目标 ,有 经 验 的 黑客 可 以 将 目标 “ 摸 
得 一 清二 楚 ”, 这 对 于 攻击 来 说 是 至 关 重要 的 。 同 时 扫描 器 也 是 网 络 管理 员 的 得 力 助 手 , 网 
络 管理 员 可 以 通过 它 了 解 自己 系统 的 运行 状态 和 可 能 存在 的 漏洞 ,在 黑客 “下手” 之 前 将 系 
统 中 的 隐患 清除 ,保证 服务 器 的 安全 稳定 。 

2) 远程 监控 类 软件 

远程 监控 程序 实际 上 是 在 服务 器 上 运行 一 个 服务 端 软件 ,而 在 黑客 的 计算 机 中 运行 一 
个 客户 端 软件 。 黑 客 利 用 木马 程序 在 服务 器 上 开 一 个 端口 ,通过 它 对 服务 器 进行 监视 、 
控制 。 

3) 病毒 和 蠕虫 

病毒 是 一 种 可 以 隐藏 .复制 .传播 自己 的 程序 ,这 种 程序 通常 具有 破坏 作用 。 蜂 虫 也 是 
一 段 程序 ,和 病毒 一 样 具 有 隐藏 .复制 .传播 自己 的 功能 。 不 同 的 是 蠕虫 程序 通常 会 寻找 特 
定 的 系统 ,利用 其 中 的 漏洞 完成 传播 自己 和 破坏 系统 的 作用 ,另外 蠕虫 程序 可 以 将 收 到 的 被 
攻击 系统 中 的 资料 传送 到 黑客 手中 ,因而 蠕虫 是 介 于 木马 和 病毒 之 间 的 一 类 程序 。 

4) 系统 攻击 和 密码 破解 

这 类 软件 对 于 黑客 很 重要 ,因为 它 可 以 大 幅度 减少 黑客 的 某 些 繁琐 工作 ,使 用 者 经 过 对 
软件 的 设置 就 可 以 让 软件 自动 完成 重复 的 工作 ,或 者 由 软件 完成 大 量 的 猜测 工作 。 

系统 攻击 类 软件 主要 分 为 信息 炸弹 和 破坏 炸弹 。 网 络 上 常见 的 垃圾 电子 邮件 就 是 这 种 
软件 的 “杰作 ”, 聊 天 室 中 经 常 看 到 的 * 踢 人 ”“ 骂 人 ”类 软件 ,论坛 的 垃圾 灌水 器 、 系 统 蓝 屏 炸 
弹 也 都 属于 此 类 软件 的 变异 形式 。 

密码 破解 类 软件 可 以 帮助 寻找 系统 登录 密码 ,相对 于 利用 漏洞 进行 系统 攻击 ,暴力 破解 
密码 要 简单 许多 ,但 是 效率 会 非常 低 。 

5) 监听 类 软件 

通过 监听 ,黑客 可 以 截获 网 络 信息 包 , 然 后 对 加 密 的 信息 包 进 行 破解 ,进而 分 析 包 内 的 
数据 ,获得 有 关系 统 的 信息 ; 也 可 以 通过 截获 个 人 上 网 的 信息 包 , 分 析 得 到 上 网 账号 .电子 
邮件 账号 等 个 人 隐私 资料 。 在 大 多 数 的 情况 下 ,这 类 软件 是 提供 给 程序 开发 者 或 者 网 络 管 
理 员 进行 程序 调试 或 服务 器 管理 工作 的 。 
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2. 按 用 途 分 类 

1) 防范 

防火 墙 . 查 病毒 软件 .系统 进程 监视 器 .端口 管理 程序 等 都 属于 此 类 软件 。 这 类 软件 可 
以 在 最 大 程度 上 保护 计算 机 使 用 者 的 安全 和 个 人 隐私 。 而 日 志 分 析 软 件 、 系统 入 侵 检测 软 
件 等 可 以 帮助 管理 员 维 护 服 务 器 并 对 入 侵 系统 的 黑客 进行 追踪 。 

2) 信息 搜集 

信息 搜集 软件 包括 端口 扫描 、 漏 洞 扫描 、 弱 口令 扫描 等 扫描 类 软件 ; 监听 、 截 获 信息 包 
等 间谍 类 软件 。 无 论 是 黑客 、 系 统管 理 员 还 是 一 般 的 计算 机 使 用 者 ,都 可 以 使 用 这 类 软件 完 
成 各 自 不 同 的 目的 。 在 大 多 数 情况 下 ,黑客 使 用 这 类 软件 的 频率 更 高 ,因为 他 们 需要 依靠 这 
类 软件 对 服务 器 进行 全 方位 的 扫描 ,获得 尽 可 能 多 的 关于 服务 器 的 信息 ,在 对 服务 器 有 了 充 
分 的 了 解 之 后 ,才能 进行 人 侵 。 

3) 木马 与 蠕虫 

这 是 两 种 类 型 的 软件 ,不 过 它们 的 工作 原理 大 致 相同 ,都 具有 病毒 的 隐藏 性 和 破坏 性 ， 
另外 此 类 软件 还 可 以 由 拥有 控制 权 的 人 进行 操作 ,或 由 事先 精心 设计 的 程序 完成 一 定 的 工 
作 。 当 然 这 类 软件 也 可 以 被 系统 管理 员 利 用 , 当 作 远程 管理 服务 器 的 工具 。 

4) 洪水 

所 谓 * 洪 水 ” 即 信息 垃圾 炸弹 ,通过 大 量 的 垃圾 请 求 可 以 导致 目标 服务 器 超 负荷 而 衣 溃 ， 
近年 来 网 络 上 流行 的 DoS 分 布 式 攻击 ,简单 地 说 也 可 以 归 入 这 类 软件 中 。“ 洪 水 ”软件 还 可 
以 用 作 邮 件 炸弹 或 者 聊天 室 炸 弹 , 这 些 都 是 经 过 简化 并 由 网 络 安 全 爱好 者 程序 化 的 “傻瓜 
式 ” 软 件 。 

5) 密码 破解 

网 络 安全 得 以 保证 的 最 实用 方法 是 依靠 各 种 加 密 算法 的 密码 系统 。 黑 客 也 许可 以 很 容 
易 获 得 一 份 加密 后 的 文件 ,但 是 如 果 没 有 加 密 算法 , 它 仍 然 无 法 获得 真正 的 密码 ,密码 破解 
类 软件 利用 计算 机 的 高 速 计算 能 力 , 通 过 密码 字典 或 者 穷 举 等 方式 还 原 经 过 加 密 的 密 文 。 

6) 欺骗 

如 果 和 希望 获得 上 面 提 到 的 明文 密码 ,黑客 需要 对 密 文 进行 加 密 算法 还 原 ,如 果 是 一 个 复 
杂 的 密码 ,破解 起 来 就 不 是 那么 简单 了 。 但 如 果 让 知道 密码 的 人 直接 告诉 黑客 具体 的 密码 ， 
岂 不 是 更 加 方便 ”欺骗 类 软件 就 是 为 了 完成 这 个 目的 而 设计 的 。 

7) 伪装 

网 络 上 进行 的 各 种 操作 都 会 被 ISP 服务 器 记录 下 来 ,如 果 没 有 经 过 很 好 地 伪装 就 进行 
入 侵 , 很 容易 会 被 反 跟 踪 技术 追查 到 黑客 的 所 在 ,伪装 类 工具 可 以 伪装 自己 的 身份 和 IP 
地 址 。 


4.2 计算 机 病毒 


众所周知 的 生物 病毒 ,是 能 侵入 人 体 或 其 他 生物 体内 的 病原 体 。 当 它 潜入 到 人 或 其 他 
生物 内 的 细胞 后 ,将 会 大 量 繁殖 与 其 本 身 相 仿 的 复制 品 。 这 些 复制 品 又 去 感染 其 他 健康 的 
细胞 ,大 部 分 被 感染 的 细胞 会 因此 而 死亡 ,它们 是 非 人 为 的 具有 传染 性 和 杀伤 力 的 有 机 体 。 
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计算 机 病毒 在 传染 性 ,潜伏 性 等 方面 类 似 于 生物 病毒 ,是 一 种 能 人 侵 到 计算 机 和 计算 机 
网 络 .危害 其 正常 工作 的 “病原 体 ”, 是 人 为 的 具有 传染 性 .潜伏 性 特征 的 无 机 体 。 


4.2.1 计算 机 病毒 的 定义 


从 广义 上 讲 , 凡 能 够 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 计 算 
机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 的 定义 是 :“ 指 编制 或 者 在 计 
算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计 
算 机 指令 或 者 程序 代码 ”。 所 以 计算 机 病毒 是 一 种 特殊 的 计算 机 程序 , 它 可 以 修改 其 他 程序 
使 其 包含 该 病毒 程序 的 拷贝 ,一 般 不 能 独立 运行 ,需要 依附 在 其 他 可 运行 的 程序 上 , 随 该 程 
序 的 执行 而 运行 。 

计算 机 病毒 由 传染 部 和 行动 部 组 成 ,传染 部 决定 病毒 蕊 延 的 速度 和 侵 秦 的 范围 ,行动 部 
决定 病毒 危害 的 程度 。 


4.2.2 病毒 的 特点 


由 计算 机 病毒 的 定义 ,以 及 对 病毒 的 产生 ,来源 .表现 形式 和 破坏 行为 的 分 析 , 计 算 机 病 
毒 具 有 的 基本 特点 包括 : 传染 性 .破坏 性 .隐蔽 性 REE ~ ET fih E PESE 

1. 传染 性 

传染 性 又 称 自 我 复制 .自我 繁殖 ,感染 或 再 生 , 可 以 将 自身 的 拷贝 复制 到 其 他 对 象 。 传 
染 性 是 计算 机 病毒 的 最 基本 特征 ,是 判断 一 个 计算 机 程序 是 否 为 计算 机 病毒 的 最 重要 依据 。 

病毒 程序 一 旦 进入 计算 机 并 被 执行 ,就 会 对 系统 进行 监视 ,寻找 符合 其 传染 条 件 的 其 他 
程序 或 存储 介质 。 确 定 了 传染 目标 后 ,采用 附加 或 插入 等 方式 将 病毒 程序 自身 链接 到 这 个 
目标 之 中 ,该 目标 即 被 传染 ; 同时 这 个 被 传染 的 目标 又 成 为 新 的 传染 源 , 当 它 被 执行 以 后 ， 
去 传染 另 一 个 可 以 被 传染 的 其 他 目标 。 计 算 机 病毒 的 这 种 将 自身 复制 到 其 他 程序 之 中 的 
“再 生机 制 ”, 使 得 病毒 能 够 在 系统 中 迅速 扩散 。 

2. 破坏 性 

计算 机 病毒 的 破坏 性 表现 在 占用 系统 资源 、 破 坏 数 据 ,干扰 运行 ,摧毁 系统 等 方面 ,计算 
机 病毒 的 破坏 性 决定 了 它 的 危害 性 。 破 坏 性 是 每 一 个 计算 机 病毒 最 基本 的 特征 之 一 ,只 是 
破坏 性 的 程度 有 别 , 自 出 现 CIH 病毒 以 来 ,计算 机 病毒 的 主要 破坏 目标 和 攻击 部 件 由 系统 
数据 区 、 文 件 向 攻击 硬件 的 方向 发 展 。 

3. 隐蔽 性 

病毒 依附 于 其 他 载体 存在 的 特性 称 为 病毒 的 隐蔽 性 。 隐 蔽 性 的 目的 是 为 了 躲避 计算 机 
病毒 检测 技术 ,使 之 不 被 用 户 或 病毒 防范 人 员 发 现 。 病 毒 一 般 是 具有 很 高 编程 技巧 、 短 小 精 
悍 的 程序 。 大 部 分 病毒 的 代码 之 所 以 设计 的 非常 短小 ,就 是 为 了 隐蔽 。 

4. 潜伏 性 

病毒 程序 进入 计算 机 之 后 ,一般 情况 下 除了 传染 外 ,并 不 会 立即 发 作 , 而 是 在 系统 中 潜 
伏 一 段 时 间 。 只 有 当 其 特定 的 触发 条 件 满足 后 , 才 会 激活 病毒 的 表现 模块 而 出 现 中 毒 症状 。 

由 于 病毒 的 潜伏 性 ,用 户 意识 不 到 ,发现 不 了 病毒 的 存在 ,使 得 病毒 向 外 传染 的 机 会 增 
多 ,病毒 传染 的 范围 更 加 广泛 。 
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5. 可 触发 性 

传染 性 使 病毒 得 以 传播 ,破坏 性 体现 了 病毒 的 杀伤 能 力 。 频 繁 的 传染 和 破坏 会 使 病毒 
暴露 ,不 破坏 .不 传染 会 使 病毒 失去 杀伤 力 。 病 毒 既 要 隐藏 又 要 维持 其 杀伤 力 , 它 必 须 具 有 
可 触发 性 。 

可 触发 性 就 是 指 病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 。 
可 和 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 间 的 调节 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 ,兼顾 
杀伤 力 和 潜伏 性 。 


4.2.3 病毒 的 分 类 


计算 机 病毒 可 以 从 各 种 角度 进行 分 类 ,如 按 病毒 攻击 对 象 的 机 型 病毒 攻击 的 操作 系 
统 、 病 毒 的 链接 方式 ,病毒 的 寄生 和 传染 方式 以 及 病毒 给 计算 机 系统 带 来 的 后 果 等 方面 进行 
分 类 。 

按 病毒 攻击 对 象 的 机 型 分 类 : 攻击 微型 计算 机 的 病毒 .攻击 小 型 计算 机 的 病毒 .攻击 中 
大 型 计算 机 的 病毒 .攻击 计算 机 网 络 的 病毒 。 

按 病毒 攻击 计算 机 的 操作 系统 分 类 : 攻击 Macintosh 系统 的 病毒 .攻击 DOS 系统 的 病 
BE .攻击 Windows 系统 的 病毒 .攻击 UNIX 系统 的 病毒 .攻击 OS/2 系统 的 病毒 。 

按 计算 机 病毒 的 链接 方式 分 类 : 操作 系统 型 病毒 .外 壳 型 病毒 . 嵌 人 型 病毒 .源码 型 
病毒 。 

按 计算 机 病毒 的 寄生 和 传染 方式 分 类 : 文件 型 病毒 .系统 引导 型 病毒 .混合 型 病毒 。 

按 给 计算 机 系统 带 来 的 后 果 分 类 : 恶性 病毒 “良性 ?病毒 。 

1. 操作 系统 型 病毒 

操作 系统 型 病毒 用 其 自身 部 分 加 入 或 替代 操作 系统 的 某 些 功能 ,它们 主要 针对 磁盘 的 
引导 扇 区 进行 攻击 ,有 的 还 能 同时 攻击 文件 分 配 表 。 在 一 般 情况 下 并 不 感染 磁盘 文件 ,而 是 
直接 感染 操作 系统 。 

2. 外 壳 型 病毒 

外 壳 型 病毒 是 将 其 病毒 代码 插入 在 宿主 程序 的 头 部 或 尾部 ,来 改变 宿主 的 程序 代码 , 相 
当 于 给 宿主 程序 加 了 个 “外 壳 ”, 病 毒 代码 与 宿主 程序 之 间 存在 明显 的 界限 。 

3. 嵌入 型 病毒 

嵌入 型 病毒 将 自身 嵌入 到 其 宿主 程序 的 中 间 ,把 计算 机 病毒 主体 程序 与 其 攻击 的 对 象 
以 插入 的 方式 链接 。 

4. 源码 型 病毒 

源码 型 病毒 攻击 用 计算 机 高 级 语言 编写 的 源 程序 。 它 们 不 但 能 够 将 自身 插入 到 宿主 程 
序 中 ,而 且 在 插入 后 还 能 与 被 插入 的 宿主 程序 一 起 编译 、 链 接 成 为 可 执行 文件 并 使 之 直接 
带 毒 。 

源码 型 病毒 可 用 汇编 语言 编写 , 亦 可 用 计算 机 高 级 语言 或 “ 宏 命 令 ? 编 写 。 目 前 ,大 多 数 
源码 型 病毒 采用 Java, ActiveX 等 网 络 编程 语言 编写 。 

5. 文件 型 病毒 

文件 型 病毒 指 那 些 专 门 感染 可 执行 文件 (以 . exe 文件 和 . com 文件 为 主 ) 的 计算 机 病 
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毒 。 大 多 数 染 毒 的 可 执行 文件 字 节 明显 增 大 ,系统 可 用 空间 减少 ,显示 非法 信息 以 及 覆盖 重 
要 文件 ,造成 系统 死机 等 ,如 黑色 星期 五 病毒 .DIR-2 病毒 、 瀑 布 病毒 、 维 也 纳 病 毒 等 。 

在 文件 型 病毒 中 ,. exe 文件 曾经 是 计算 机 病毒 的 主要 寄生 场所 。 大 多 数 . exe 文件 病毒 
寄生 在 该 文件 的 末尾 ,同时 修改 了 文件 头 的 数据 ,把 原来 的 文件 头 数据 保存 到 病毒 代码 之 
中 。 运 行 该 文件 时 ,病毒 代码 首先 运行 ,然后 再 执行 . exe 文件 原来 的 程序 。 

感染 带 有 宏 的 数据 文件 的 计算 机 宏 病 毒 则 是 新 一 代 的 文件 型 病毒 。 

6. 系统 引导 型 病毒 

引导 型 病毒 是 一 种 在 ROM BIOS 之 后 ,系统 引导 时 出 现 的 病毒 , 它 先 于 操作 系统 执行 ， 
依托 的 环境 是 BIOS 中 断 服务 程序 。 

引导 型 病毒 寄生 的 场所 是 主 引 导 扇 区 和 逮 辑 引导 扇 区 。 病 毒 寄 生 在 引导 扇 区 后 ,将 真 
正 的 引导 程序 转移 或 替换 ,系统 启动 时 ,病毒 获得 控制 权 , 待 病毒 程序 执行 后 ,再 将 控制 权 交 
给 原来 真正 的 引导 程序 ,使 得 这 个 带 病毒 的 系统 看 似 正 常 运转 ,而 病毒 已 隐藏 在 系统 中 ,并 
伺机 传染 发作 ,从 而 使 得 这 类 病毒 具有 很 大 的 传染 性 和 危害 性 。 

系统 引导 型 病毒 常 驻 计算 机 引导 区 ,通过 改变 计算 机 引导 区 的 正常 分 区 来 达到 破坏 的 
目的 。 

常见 的 引导 型 病毒 有 大 麻 病 毒 、 小 球 病毒 等 。 

7. 混合 型 病毒 

混合 型 病毒 既 感染 引导 区 又 感染 可 执行 文件 ,具有 引导 型 病毒 和 文件 型 病毒 的 寄生 方 
式 , 如 新 世纪 病毒 .冲击 波 病毒 等 。 

8. 恶性 病毒 

恶性 病毒 指 那些 一 旦 发 作 或 在 传染 过 程 中 会 破坏 系统 数据 ,删除 文件 ,甚至 摧毁 计算 机 
系统 的 危害 性 极 大 的 计算 机 病毒 。 如 黑色 星期 五 病毒 ,每 才 星 期 五 又 是 13 日 ,就 会 删除 磁 
盘 上 和 系统 中 所 有 正在 执行 的 文件 ,从 而 给 用 户 带 来 难以 挽回 的 损失 ; 又 如 磁盘 杀手 病毒 ， 
发 作 时 会 把 硬盘 上 的 数据 一 块 一 块 地 进行 破坏 ,直至 全 部 破坏 为 止 。 

9.“ 良 性 ”病毒 

“良性 ”病毒 指 那些 只 是 为 了 表现 自己 ,并 不 破坏 系统 和 数据 的 计算 机 病毒 。 如 1575 病 
毒 发 作 时 ,会 在 屏幕 上 显示 ”* 绿 毛虫 ”的 信息 ,并 不 破坏 系统 和 文件 .“ 和 良性 ?病毒 并 非 没 有 危 
害 , 它 们 会 大 量 占用 CPU 资源 ,增加 系统 开销 ,降低 系统 工作 效率 。 

由 于 同一 种 病毒 可 能 集 多 种 特征 于 一 体 , 因 此 同一 种 病毒 可 能 会 存在 多 种 不 同 的 分 类 
结果 。 

4.2.4 计算 机 病毒 在 磁盘 中 的 存储 

存储 在 引导 区 的 计算 机 病毒 通常 采用 替代 法 ,病毒 程序 把 自己 的 部 分 或 全 部 代码 替代 
原 正 常 文件 的 部 分 或 全 部 ; 存储 在 用 户 空间 的 病毒 一 般 采 用 链接 法 ,把 病毒 程序 和 原 正常 
文件 链接 在 一 起 。 

链接 法 可 分 为 文件 头 链接 ,文件 尾 链 接 和 文件 中 链接 三 种 。 

1. 文件 头 链接 

病毒 链接 于 被 攻击 文件 的 头 部 。 病 毒 程序 寄生 于 合法 程序 的 开始 处 ,只 要 执行 该 程序 ， 
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首先 运行 的 是 病毒 ,病毒 立即 获得 对 系统 的 控制 权 。 

2. 文件 尾 链接 

病毒 链接 于 被 攻击 文件 的 尾部 。 病 毒 程序 寄生 于 合法 程序 的 最 后 ,但 在 合法 程序 的 开 
始 处 增加 了 ”goto 病毒 程序 ”语句 。 只 要 执行 该 程序 ,病毒 同样 先 获得 对 系统 的 控制 权 。 

3. 文件 中 链接 

病毒 链接 于 被 攻击 文件 的 中 间 。 病 毒 程序 寄生 于 合法 程序 的 中 间 ,但 在 合法 程序 的 开 
始 处 增加 了 ”goto 病毒 程序 ”。 只 要 执行 该 程序 ,计算 机 病毒 也 先 获 得 对 系统 的 控制 权 。 但 
这 种 病毒 程序 设计 较为 困难 ,目前 的 链接 型 病毒 都 是 链接 于 合法 程序 的 头 部 和 尾部 。 


4.2.5 计算 机 病毒 的 构成 


计算 机 病毒 是 以 现代 计算 机 系统 为 环境 而 存在 发 展 的 ,因此 , 它 的 结构 由 计算 机 软件 和 
硬件 环境 所 决定 。 通 常 计算 机 病毒 程序 包括 三 大 模块 , 即 引 导 模 块 、 传 染 模块 和 表现 /破坏 
模块 。 传 染 模块 是 病毒 程序 的 一 个 重要 组 成 部 分 , 它 负 责 病毒 的 传染 工作 ,主要 完成 寻找 目 
标 , 检 查 目 标 文件 中 是 否 有 传染 标记 (如 果 没 有 传染 标记 , 则 进行 传染 ) ,将 病毒 程序 和 传染 
标记 放 入 宿主 程序 中 等 工作 。 破 坏 模块 负责 病毒 的 破坏 工作 。 后 两 个 模块 各 包含 了 一 段 触 
发 条 件 检查 代码 ,分 别 检查 是 否 满足 传染 和 表现 /破坏 的 触发 条 件 , 只 有 在 满足 相应 条 件 时 ， 
计算 机 病毒 才 会 进行 传染 或 表现 /破坏 。 

1, 引导 模块 

引导 模块 的 作用 是 将 病毒 由 外 存 引入 内 存 , 使 传染 模块 和 表现 /破坏 模块 处 于 活动 
系统 启动 时 ,病毒 程序 的 引导 模块 率先 将 自身 的 程序 代码 引入 并 驻 留 在 内 存 中 ,获得 系 
统 的 控制 权 ,随后 引入 正常 的 操作 系统 。 只 要 和 触发 条 件 得 到 满足 ,就 立即 触发 病毒 ,对 未 被 
感染 的 磁盘 进行 传染 。 

引导 模块 的 工作 方式 是 通过 非 授 权 加 载 , 将 分 散 的 病毒 程序 在 非法 占用 的 存储 空间 进 
行 重新 装配 ,构成 一 个 整体 病毒 程序 ,使 静态 病毒 激活 成 为 动态 病毒 。 

1) 静态 病毒 

静态 病毒 是 指 存储 介质 (如 软盘 硬盘、 磁带 等 ) 上 的 计算 机 病毒 ,由 于 没有 处 于 加 载 状 
态 , 故 不 能 执行 病毒 的 传染 或 破坏 作用 。 

2) 动态 病毒 

动态 病毒 是 指 已 进入 内 存 , 处 于 运行 状态 ,或 通过 某 些 中 断 能 立即 获得 运行 权 的 计算 机 
病毒 。 

引导 模块 还 会 对 内 存 的 病毒 代码 采取 保护 措施 ,以 避免 病毒 程序 被 覆盖 。 在 完成 病毒 
程序 的 安装 后 ,对 内 存 中 的 病毒 代码 采取 保护 措施 ,使 之 不 被 覆盖 。 然 后 执行 正常 的 系统 功 
能 ,以 隐蔽 和 保护 自己 。 

2. 传染 模块 

传染 是 病毒 最 基本 的 特征 之 一 ,是 病毒 的 再 生机 制 。 传 染 模块 的 作用 就 是 将 病毒 传染 
到 其 他 对 象 上 去 。 该 模块 一 般 包 括 两 部 分 内 容 , 即 传染 条 件 判断 部 分 和 传染 部 分 (大 多 数 的 
病毒 都 带 有 传染 标志 ,一 般 来 说 ,如 果 某 个 目标 有 该 病毒 的 特殊 标识 ,就 不 再 向 该 目标 传 
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染 )。 一 旦 发 现 攻 击 目标 后 ,判断 部 分 检查 是 否 有 病毒 的 传染 标识 以 及 其 他 的 特定 条 件 , 符 
合 条 件 才 会 执行 传染 部 分 ,从 而 把 病毒 全 部 链接 到 被 传染 的 攻击 目标 之 上 。 

在 单机 环境 下 ,计算 机 病毒 的 传染 途径 有 : 通过 磁盘 引导 扇 区 进行 传染 .通过 操作 系统 
文件 进行 传染 、 通 过 应 用 程序 文件 进行 传染 。 

在 Internet 中 ,病毒 的 传播 还 可 以 通过 电子 邮件 、Web 页 面 进行 。 

基于 计算 机 病毒 技术 的 发 展 趋 势 , 可 以 预料 ,通过 电磁 波 进行 传染 的 病毒 也 是 有 可 能 出 
现 的 。 

3. 表现 /破坏 模块 

病毒 程序 的 引导 模块 和 传染 模块 是 为 表现 /破坏 模块 服务 的 。 表 现 / 破 坏 模块 的 作用 就 
是 实施 病毒 的 表现 及 破坏 作用 , 它 也 分 为 触发 条 件 判断 部 分 和 表现 /破坏 部 分 。 

表现 /破坏 模块 可 以 在 第 一 次 病毒 代码 加 载 时 运行 ,也 可 能 在 第 一 次 病毒 代码 加 载 时 ， 
只 将 引导 模块 引入 内 存 , 然 后 再 通过 和 触发 某 些 中 断 机 制 而 运行 。 

一 般 情况 下 ,病毒 是 基于 一 个 或 若干 个 触发 条 件 都 满足 的 情况 下 才 触 发 其 表现 /破坏 功 
能 。 和 触发 条 件 一 般 有 以 下 几 类 : 与 系统 时 钟 有 关 的 以 时 间 、 日 期 和 星期 等 作为 触发 条 件 ; 
以 计数 作为 触发 条 件 , 当 满 足 某 个 设 定 值 时 , 即 触 发 病毒 ; 上述 两 类 触发 条 件 的 逻辑 运算 以 
及 其 他 工作 触发 条 件 。 


4.2.6 计算 机 病毒 的 传染 机 制 


计算 机 病毒 的 传染 是 指 病毒 由 一 定 载体 携带 ,从 一 个 计算 机 系统 (或 文件 ) 进 入 另 一 个 
计算 机 系统 (或 文件 ) 的 过 程 。 

计算 机 病毒 与 生物 病毒 一 样 ,有 其 自身 的 病毒 体 ( 病 毒 程 序 ) 和 寄生 体 。 寄 生体 为 病毒 
提供 一 种 生存 环境 ,是 一 合法 程序 ,这 样 合法 程序 就 成 了 病毒 程序 的 寄生 体 ,或 称病 毒 程序 
的 载体 。 通 常 合法 程序 被 称 为 宿主 或 宿主 程序 。 

病毒 可 寄生 于 合法 程序 的 任何 位 置 , 当 病毒 程序 寄生 于 合法 程序 后 ,病毒 就 成 了 程序 的 
一 部 分 ,并 在 程序 中 占有 合法 的 地 位 。 感 染 后 的 程序 相当 于 在 原 合法 程序 中 嵌入 了 病毒 程 
序 。 为 了 增强 活力 ,病毒 程序 通常 寄生 于 一 个 或 多 个 被 频繁 调用 的 程序 中 ,并 伺机 感染 更 多 
的 程序 。 

计算 机 病毒 对 宿主 程序 实施 感染 的 过 程 和 方法 是 由 病毒 的 传染 机 制 决定 的 。 病 毒 的 传 
染 机 制 , 即 它 的 传染 方式 ,是 由 病毒 程序 制造 者 在 编写 病毒 程序 时 规定 的 。 

1. 计算 机 病毒 的 传染 过 程 

计算 机 病毒 的 传染 过 程 与 生物 学 病毒 的 传染 过 程 非常 相似 , 它 寄生 在 宿主 程序 中 ,进入 
计算 机 后 借助 操作 系统 和 宿主 程序 的 运行 ,自我 复制 ,大 量 繁 殖 。 

系统 引导 型 病毒 在 传染 时 ,把 原来 引导 记录 的 内 容 存储 到 磁盘 的 某 个 扇 
序 存放 在 原来 引导 记录 位 置 处 。 

文件 型 病毒 传染 的 手法 通常 有 添加 和 嵌入 。 添 加 就 是 把 病毒 程序 添加 到 文件 的 头 部 和 
尾部 ; 嵌入 则 是 将 病毒 程序 代码 直接 存放 在 可 执行 程序 的 未 用 代码 和 数据 段 内 。 

计算 机 病毒 传染 的 一 般 过 程 为 : 

。 当 计 算 机 运行 染 毒 的 宿主 程序 时 ,病毒 夺取 控制 权 。 


Xl 


,而 把 病毒 程 
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+ 寻找 感染 的 突破 品 。 

将 病毒 程序 举人 感染 目标 中 ， 

当 操 作 系统 程序 作为 病毒 的 宿主 程序 时 ,病毒 代码 将 换 磁盘 的 Boot 扇 区 、 主 引导 扇 区 ， 
而 把 Boot 区 的 引导 程序 移 到 其 他 位 置 。 因 为 引导 扁 区 先 于 其 他 程序 获得 对 CPU 的 控制 ， 
病毒 代码 通过 把 自己 放 入 引导 扇 区 ,病毒 就 可 以 立刻 控制 整个 系统 。 病 毒 代码 代替 了 原始 
的 引导 肩 区 信息 ,并 把 原始 的 引导 肩 区 信息 移 到 磁盘 的 其 他 肩 区 。 当 操作 系统 需要 访问 引 
导数 据 信息 时 ,病毒 会 将 其 引导 到 存储 引导 信息 的 新 肩 区 ,从 而 使 操作 系统 无 法 发 觉 信息 被 
挪 到 了 新 的 地 方 。 另 外 ,病毒 的 一 部 分 仍 驻 留 在 内 存 中 , 当 新 的 磁盘 插入 时 ,病毒 就 会 把 自 
己 写 到 新 的 磁盘 上 。 当 这 个 盘 被 用 于 另 一 台 机 器 时 ,病毒 就 会 以 同样 的 方法 传播 到 那 台 机 
器 的 引导 扇 区 上 。 这 类 病毒 称 为 引导 型 病毒 。 

对 于 文件 型 的 病毒 来 说 ,病毒 程序 是 在 运行 其 宿主 程序 时 被 装 入 内 存 的 ,应 用 程序 只 有 
在 被 运行 时 才 有 系统 控制 权 。 这 时 ,病毒 会 夺取 系统 控制 权 , 先 运行 病毒 程序 ,再 运行 应 用 
程序 。 但 是 , 当 应 用 程序 运行 结束 后 ,控制 权 又 交还 给 系统 ,这 时 病毒 程序 已 经 无 用 武之 地 
了 。 所 以 ,寄生 在 应 用 程序 中 的 病毒 只 在 一 段 短暂 的 时 间 内 活动 ,不 会 引起 大 范围 的 感染 。 
正 因 如 此 ,有 相当 多 的 病毒 具有 驻 留 内 存 的 功能 ,虽然 应 用 程序 运行 结束 ,但 病毒 并 不 随 应 
用 程序 消失 ,而 是 继续 潜伏 在 计算 机 内 存 中 ,并 可 继续 获得 感染 机 会 。 常 驻 内 存 的 病毒 一 旦 
进入 计算 机 ,就 会 长 期 潜伏 ,只 要 不 进行 热 启动 冷 启动 或 关机 , 它 会 一 直 在 内 存 中 监视 计算 
机 的 运行 ,一 旦 触发 条 件 满足 ,就 进行 感染 和 破坏 。 

2, 传染 途径 和 传染 范围 

计算 机 病毒 传染 的 途径 有 丙种: 一 是 利用 磁性 存储 介质 ,如 磁盘 或 磁带 等 作为 传染 
体 , 另 一 种 是 利用 网 络 作为 传染 载体 。 

计算 机 病毒 载体 扩散 区 域 称 为 计算 机 病毒 的 传染 范围 

计算 机 病毒 从 其 出 现 到 广泛 实施 攻击 并 传播 开 来 需要 一 段 时间 , 这 段 时 间 称 为 计算 机 
病毒 实施 攻击 时 间 。 

3. 计算 机 病毒 的 交叉 感染 

计算 机 病毒 的 交叉 感染 指 多 种 计算 机 病毒 存在 于 同一 个 宿主 程序 中 。 此 时 ,病毒 代码 
会 分 散在 宿主 程序 的 头 部 和 尾部 ,其 感染 方式 可 能 是 多 种 病毒 一 次 感染 ,也 可 能 是 多 种 病毒 
同时 交叉 重复 感染 。 

交叉 感染 是 由 于 在 一 台 潜伏 着 多 种 病毒 的 计算 机 上 运行 某 一 程序 引起 的 。 计 算 机 病毒 
的 交叉 感染 会 导致 病毒 之 间 的 相互 影响 ,它们 争夺 寄生 位 置 和 传染 控制 权 ,造成 病毒 作用 的 
复杂 化 ,给 检测 和 清除 病毒 带 来 一 定 的 困难 ,有 时 还 会 导致 染 有 病毒 的 磁盘 无 法 使 用 。 

4. 病毒 发 射 枪 

病毒 发 射 枪 是 一 种 新 型 计算 机 病毒 发 射 武器 ,其 载体 和 运输 工具 是 激光 或 电磁 波 ,其 原 
理 和 发 射 生物 病毒 炮弹 颇 为 相同 。 

生物 病毒 的 运载 工具 是 炮弹 ,将 装 有 病毒 和 细菌 的 空心 炮弹 发 射 到 敌人 阵地 或 后 方 , 合 
其 迅 狐 传染 ,杀伤 敌人 的 有 生 力 量 。 病 毒 发 射 枪 则 利用 激光 或 电磁波 遥控 技术 ,将 载 有 计算 
机 病毒 程序 的 激光 或 电磁 波 发 送 到 指定 目标 ,同时 遥控 和 激活 病毒 。 

病毒 发 射 枪 的 出 现 ,结束 了 病毒 单一 的 传染 方式 一 接触 传染 的 历史 。 
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4.2.7 计算 机 病毒 的 表现 和 破坏 


病毒 必须 具备 良好 的 潜伏 性 才能 不 被 人 们 发 现 ,但 是 它 的 最 终 目的 不 是 潜伏 而 是 破坏 。 
为 达到 这 个 目的 ,病毒 需要 进行 大 范围 的 感染 。 病 毒 的 感染 动作 和 破坏 行为 是 由 它 的 触发 
机 制 决 定 的 ,病毒 的 触发 机 制 用 来 控制 感染 和 破坏 动作 的 频率 。 在 病毒 的 触发 机 制 中 ,病毒 制 
造 者 预先 规定 了 触发 条 件 ,病毒 只 有 在 触发 条 件 满足 时 才 进 行 感染 和 破坏 ,否则 一 直 潜 伏 。 

1. 计算 机 病毒 的 表现 破坏 模块 

计算 机 病毒 的 表现 破坏 模块 是 计算 机 病毒 的 主体 部 分 ,也 是 计算 机 病毒 的 核心 。 表 现 
破坏 模块 包括 触发 条 件 部 分 和 执行 表现 破坏 部 分 。 

触发 是 指 在 一 定 条 件 下 对 于 表现 破坏 功能 的 调用 过 程 ,包括 时 钟 触 发 ,功能 触发 等 。 表 
现 破 坏 部 分 根据 破坏 程度 分 为 可 恢复 性 破坏 和 不 可 恢复 性 破坏 两 类 。 

2. 病毒 的 触发 条 件 

病毒 的 触发 条 件 包 括 病毒 感染 的 触发 条 件 和 病毒 发 作 的 触发 条 件 。 病 毒 感染 的 触发 条 
件 是 指 当 这 部 分 条 件 满足 时 ,病毒 即 开始 传播 ,感染 其 他 程序 ; 病毒 发 作 的 触发 条 件 是 指 当 
发 作 部 分 的 条 件 满足 时 , 染 毒 程序 即 开始 进行 计算 机 的 破坏 行为 。 通 常 病 毒 感染 的 触发 条 
件 较 宽 松 。 过 于 苛刻 的 触发 条 件 ,可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传 播 ,只 具有 低 杀伤 力 。 
过 于 宽松 的 触发 条 件 将 导致 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病 毒 处 理 , 也 不 能 有 
大 的 杀伤 力 。 

对 病毒 程序 来 说 ,设计 一 个 合理 的 触发 条 件 十 分 重要 。 病 毒 在 感染 或 破坏 之 前 ,往往 要 
检查 触发 条 件 是 否 满足 , 若 满足 则 进行 感染 或 破坏 。 

常见 的 病毒 触发 条 件 有 日 期 触发 .时 间 触 发 .键盘 触发 .感染 触发 .启动 触发 .访问 磁盘 
次 数 触发 .调用 中 断 功能 触发 .CPU 型 号 触发 .打开 邮件 触发 .随机 触发 .利用 系统 或 工具 软 
件 的 漏洞 触发 等 。 

1) 日 期 触发 

病毒 程序 将 触发 条 件 设置 为 某 些 指定 的 日 期 ,日 期 触发 病毒 的 方式 通常 有 : 每 月 某 日 
定期 触发 . 某 月 某 日 定期 触发 .以 某 日 为 界 分 时 段 触 发 三 种 。 

采用 每 月 某 日 定期 触发 的 病毒 较 常见 ,如 2002 年 2 月 开始 流行 的 求职 信 病 毒 ,在 奇数 
月 份 的 第 6 天 , 即 1 月 6 日 3 月 6 日 .5 月 6 日 等 ,将 一 些 文件 大 小 置 零 (相当 于 删除 文件 且 
不 可 恢复 ) 。 

某 月 某 日 定期 触发 病毒 是 将 病毒 的 触发 条 件 固定 为 某 月 某 日 ,该 日 期 到 时 病毒 激活 。 
如 欢乐 时 光 的 触发 日 期 是 3 月 10 日 , 当 发 作 日 期 到 来 时 ,病毒 将 硬盘 中 的 所 有 可 执行 文件 
用 自己 的 代码 覆盖 掉 。 

以 某 日 为 界 ,在 其 指定 的 日 期 之 前 进行 感染 ,一 旦 到 了 规定 的 日 期 ,就 开始 进行 破坏 操 
作 。 如 暴乱 者 病毒 以 1990 年 8 月 15 日 为 界 ,1990 年 8 月 15 日 以 前 ,病毒 感染 现行 目录 的 
一 个 . com 文件 ,使 被 感染 文件 增长 1055B; 1990 年 8 月 15 日 以 后 ,不 进行 感染 ,而 是 将 硬 
盘 的 第 一 磁道 格式 化 。 

2) 时 间 触 发 

时 间 触 发 主要 有 特定 时 间 和 触发 . 染 毒 后 累积 工作 时 间 和 触发 .文件 最 后 写 人 时间 触 发 
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三 种 。 

特定 时 间 和 触发 方式 是 指 病毒 程序 对 时 间 进 行 判 别 , 当 到 达 某 一 特定 时 刻 时 ,病毒 发 作 ， 
执行 破坏 行为 。 如 1999 年 3 月 26 日 发 现 的 梅 痢 莎 病毒 , 当 机 器 的 分 钟 值 与 当前 日 期 相同 
时 触发 ,造成 DoS 或 造成 用 户 信息 的 泄露 。 

染 毒 后 累积 工作 时 间 触 发 是 指 感染 病毒 后 对 机 器 的 工作 时 间 计 时 , 当 达 到 一 定 的 时 间 
后 触发 。 如 磁盘 杀手 病毒 对 PC 每 秒 13. 2 次 的 时 钟 中 断 进行 计数 , 当 计 数值 达到 300000h 
时 ,病毒 被 触发 。 这 时 ,键盘 死 锁 ,一 些 杂 乱 数据 被 写 人 硬盘 ,直至 全 部 数据 被 毁坏 为 止 。 

有 些 时 间 触 发 病毒 是 以 文件 最 后 写 和 时间 和 触发 的 。 例 如 ,1991 年 5 月 产 于 意大利 的 研 
究 性 病毒 Ah ,平时 它 感染 . com 文件 ,使 染 毒 文件 增长 1173B。 当 发 现 原文 件 的 最 后 写 入 时 
间 是 12: 00 时 ,将 破坏 被 感染 的 文件 。 

3) 键盘 触发 

键盘 触发 包括 按键 次 数 触发 .组 合 键 触发 . 热 启动 触发 等 。 

通过 按键 次 数 触发 的 典型 病毒 有 产 于 墨西哥 的 魔鬼 之 舞 (Devil Dance) 病 毒 。 该 病毒 
运行 时 ,感染 当前 目录 中 的 所 有 . com 文件 ,感染 后 文件 长 度 增 加 941B。 该 病毒 监视 键盘 ， 
在 2000 次 按键 时 ,改变 显示 器 颜色 ,在 5000 次 按键 时 ,破坏 硬盘 FAT 表 。 

组 合 键 触 发 病毒 监视 键盘 操作 , 当 接 受到 某 种 特定 的 组 合 键 动作 时 病毒 发 作 。 典 型 的 
组 合 键 触 发 病毒 是 Yap 病毒 ,每 当 用 户 按 Alt 键 或 Alt 与 其 他 键 的 组 合 键 时 ,屏幕 上 会 出 现 
许多 “臭虫 ”图案 ,将 屏幕 上 的 其 他 字符 都 吃 掉 。 用 户 如 果 再 按 Alt 或 Alt 键 与 其 他 键 的 组 
合 键 时 屏幕 恢复 正常 。 

热 启动 触发 是 当 系统 执行 热 启 动 操 作 时 ,引发 病毒 。 如 1990 年 9 月 产 于 中 国 台 湾 的 和 
侵 者 (Invader) 病 毒 , 当 计 算 机 热 启动 ( 按 下 Ctrl+Alt+Del 组 合 键 ) 时 ,病毒 发 作 , 系 统 硬盘 
第 一 磁道 的 数据 被 破坏 。 

4) 感染 触发 

感染 触发 方式 包括 运行 感染 文件 个 数 触 发 ,感染 序数 触发 .感染 磁盘 数 触发 和 感染 失败 
触发 。 

运行 感染 文件 个 数 触发 类 病毒 是 将 病毒 的 触发 条 件 设置 为 机 器 运行 感染 文件 的 个 数 ， 
当 计 算 机 运行 时 ,病毒 程序 开始 对 机 器 运行 的 染 毒 文件 个 数 进行 计数 , 当 到 达 某 一 预先 设置 
的 文件 个 数 时 ,病毒 发 作 。 如 黑色 星期 一 病毒 对 运行 的 病毒 程序 进行 计数 , 当 计算 机 运行 第 
240 个 染 毒 程序 时 ,病毒 发 作 ,格式 化 硬盘 。 

感染 序数 触发 类 病毒 将 触发 条 件 设置 为 该 病毒 所 感染 过 的 文件 个 数 , 当 计算 机 运行 时 ， 
病毒 程序 开始 对 该 病毒 感染 的 文件 个 数 进行 计数 , 当 感 染 到 第 n 个 文件 时 ,病毒 触发 ,这 种 
触发 方式 称 之 为 感染 序数 触发 。 与 运行 感染 文件 个 数 触发 不 同 的 是 ,感染 序数 触发 是 对 自 
身 感染 的 文件 个 数 计数 ,而 运行 感染 文件 个 数 触 发 是 既 对 自身 感染 的 文件 计数 ,又 对 其 他 病 
毒 程序 感染 过 的 文件 计数 。 如 1990 年 3 月 产 于 保加利亚 的 研究 性 病毒 VHP2 ,每 感染 8 个 
文件 ,就 会 引起 热 启动 。 

感染 磁盘 数 触发 病毒 对 感染 的 磁盘 进行 计数 ,并 以 达到 某 计 数值 为 触发 条 件 。 如 1987 
年 的 Golden Gate 病毒 (金门 病毒 ) ,对 感染 磁盘 的 次 数 计数 , 当 感 染 第 500 张 磁盘 时 ,病毒 
发 作 ,格式 化 硬盘 。 

感染 失败 触发 类 病毒 是 在 病毒 感染 时 ,将 病毒 感染 失败 作为 触发 条 件 , 用 以 激活 病毒 。 
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如 Recovery 病毒 将 当前 目录 中 的 . com 文件 全 部 感染 后 ,再 实施 感染 将 会 失败 ,这 时 ,病毒 
发 作 , 将 目录 中 的 所 有 . exe 文件 改 为 . com 文件 。 

5) 打开 邮件 触发 

这 类 病毒 一 般 是 借助 于 电子 邮件 这 个 通信 工具 来 传播 的 , 随 着 E-mail 的 广泛 使 用 ,这 
类 病毒 的 品种 也 越 来 越 多 。 当 用 户 预览 邮件 或 者 是 运行 附件 的 时 候 就 满足 了 该 类 病毒 的 触 
发 条 件 。 这 类 病毒 大 致 可 分 为 两 种 : 一 种 是 以 普通 邮件 方式 出 现 , 另 一 种 是 以 节日 问候 类 
邮件 出 现 。 

普通 邮件 型 病毒 往往 会 选择 比较 具有 诱惑 性 的 主题 ,引诱 邮件 接收 者 打开 邮件 ,如 
Happy99 病毒 。 当 运行 E-mail 中 附件 名 为 Happy99. exe 的 文件 时 (也 可 能 采用 其 他 文件 
名 ) ,屏幕 上 就 会 自动 打开 一 个 窗口 ,显示 以 黑色 为 底 色 的 满 天 烟 火 , 此 后 ,只 要 发 信 夹 带 附 
件 就 死机 。 重 新 启动 计算 机 后 ,仍然 不 能 发 送 夹带 附件 的 信 ; 如 果 不 夹带 附件 ,可 以 发 信 ， 
但 是 Happy99 会 悄悄 附 在 信 中 ,对 方 如 果 运 行程 序 , 即 被 感染 。 这 样 ,这 个 病毒 可 能 在 不 知 
不 觉 中 传染 给 所 联络 的 每 个 朋友 ,而 后 又 假借 他 们 的 邮件 传染 给 更 多 的 对 象 。 

节日 问候 型 邮件 病毒 借助 一 些 特定 的 日 期 传播 给 网 络 用 户 ,尤其 是 一 些 节 日 , 当 人 们 沉 
浸 在 节日 的 快乐 中 ,往往 就 放松 了 和 警惕 ,很 容易 打开 这 些 带 有 病毒 的 邮件 。 典 型 的 有 ”新 年 
快乐 病毒 ”携带 这 种 病毒 的 电子 邮件 以 “新 年 快乐 ! ”为 主题 , 包含 一 个 名 为 
“Happynewyear. txt. vbs” 的 附件 。 一 旦 这 个 附件 被 打开 ,病毒 就 会 进入 用 户 的 计算 机 系 
统 , 在 系统 中 开 一 个 “后 门 ”。 感 染病 毒 的 计算 机 会 自动 向 微软 电子 邮件 软件 Outlook 地 址 
短 中 所 有 的 电子 信箱 发 送 带 毒 邮件 。 

6) 利用 系统 或 工具 软件 的 漏洞 触发 

这 类 病毒 专门 攻击 带 有 某 一 漏洞 的 系统 或 者 工具 软件 。 当 该 病毒 在 网 络 上 探测 到 某 个 
带 有 漏洞 的 终端 用 户 时 , 它 就 通过 网 络 感染 该 系统 ,然后 自动 运行 ,进行 破坏 行为 。 如 “红色 
代码 ”病毒 通过 Microsoft 公司 IIS 系统 漏洞 进行 感染 ,造成 的 破坏 主要 是 涂改 网 页 ,对 网 络 
上 的 其 他 服务 器 进行 攻击 ,被 攻击 的 服务 器 又 可 以 继续 攻击 其 他 服务 器 。 

3. 病毒 的 表现 破坏 形式 

不 同 的 计算 机 病毒 均 有 自己 特定 的 不 同 程度 的 表现 破坏 行为 ,其 表现 破坏 形式 不 外 乎 
以 下 几 种 ， 

CL) 计算 机 系统 引导 速度 和 运行 速度 明显 减 慢 。 

(2) 计算 机 显示 屏 上 出 现 无 意义 的 画面 ,诱惑 性 的 信息 或 时 钟 倒转 。 

(3) 计算 机 经 常 无 端 死机 或 重新 启动 。 

(4) 系统 不 能 识别 磁盘 或 硬盘 不 能 引导 系统 。 

(5) 删除、 修改 某 些 系 统 文件 ,系统 的 配置 出 现 错误 。 

(6) 磁盘 坏 复 (或 坏 扇 区 ) 无 端的 增多 。 

CT) 磁盘 上 出 现 异常 文件 (出 现 一 些 不 可 见 的 表格 文件 或 特定 的 毫 无 意义 的 垃圾 数据 ， 
自动 生成 一 些 具有 特殊 文件 名 的 文件 ) 。 

(8) 磁盘 上 原 有 的 正常 文件 不 能 运行 。 

(9) 异常 访问 存储 系统 ,如 磁盘 驱动 器 的 存 取 指 示 灯 一 直 亮 着 ,甚至 在 无 访问 操作 时 也 
是 如 此 ) 。 

(10) 磁盘 卷 标 异常 变化 ,系统 不 能 识别 硬盘 。 
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(11) 程序 运行 时 出 现 异常 现象 ,产生 与 原 设计 不 相符 的 运行 结果 。 
(12) 文件 的 长 度 、 建 立 日 期 或 属性 发 生变 化 。 

(13) 文件 丢失 ,损坏 .无 法 正确 读 取 或 复制 。 

(14) 不 应 驻 留 内 存 的 程序 驻 留 内 存 。 

(15) 打印 机 的 工作 速度 减 慢 ,有 时 产生 死 锁 现 象 。 

(16) 鼠标 失控 。 

(17) Windows 操作 系统 频繁 出 错 。 

(18) Word 和 Excel 提示 执行 宏 。 

(19) 计算 机 系统 的 蜂 鸣 器 发 出 异常 声响 。 

(20) 虚假 报警 或 异常 要 求 用 户 输入 口令 。 

(21) 覆盖 磁盘 的 启动 磁道 和 目录 表 , 使 磁盘 变 成 一 块 废 盘 。 
(22) 可 执行 文件 被 无 端 删除 。 

(23) 干扰 键盘 的 正常 操作 。 


4.2.8 计算 机 病毒 的 检测 与 防范 


计算 机 病毒 的 防范 既 包 括 在 技术 层面 上 采取 措施 ,更 需要 在 管理 层面 和 法 律 法 规 层面 
上 采取 措施 。 只 有 高 度 重视 管理 层面 ,对 计算 机 信息 系统 使 用 人 员 的 行为 加 以 规范 ,才能 使 
计算 机 病毒 防范 工作 真正 落 到 实处 ,从 而 确保 计算 机 信息 系统 和 信息 网 络 的 运行 安全 。 

在 技术 层面 上 ,计算 机 反 病 毒 技术 包括 三 个 部 分 : 计算 机 病毒 的 检测 技术 .计算 机 病毒 
的 清除 技术 .计算 机 病毒 的 预防 技术 。 

1. 计算 机 病毒 的 检测 技术 

计算 机 病毒 检测 是 指 检查 在 特定 环境 中 是 否 存在 计算 机 病毒 ,并 能 够 准确 地 报 出 病毒 
名 称 , 检 查 的 对 象 可 以 是 内 存 文件、 磁盘 引导 区 等 。 

病毒 检测 的 目的 是 发 现 、 确 认 和 报告 是 否 存 在 病毒 ,为 病毒 的 消除 提供 依据 。 

1) 病毒 的 检测 

计算 机 病毒 检测 通常 有 手工 检测 和 自动 检测 两 种 方法 。 

(1) 手工 检测 : 是 指 通过 一 些 软件 工具 (DEBUG 、PCTOOLS、NU、SYSINFO 等 ) 提 供 
的 功能 进行 病毒 的 检测 。 这 种 方法 比较 复杂 ,需要 检测 者 熟悉 机 器 指令 和 操作 系统 ,因而 无 
法 普及 。 它 的 基本 过 程 是 利用 一 些 工具 软件 ,对 易 遭 病毒 攻击 和 修改 的 内 存 及 磁盘 的 有 关 
部 分 进行 检查 ,通过 与 正常 情况 下 的 状态 进行 对 比分 析 , 来 判断 是 否 被 病毒 感染 。 这 种 方法 
检测 病毒 ,费时 费力 ,但 可 以 剖析 新 病毒 ,检测 识别 未 知 病毒 ,可 以 检测 一 些 自动 检测 工具 不 
认识 的 新 病毒 。 

(2) 自动 检测 : 是 指 通过 一 些 杀 毒 软件 来 检测 系统 或 磁盘 是 否 有 毒 的 方法 。 自 动 检测 
比较 简单 ,一 般 用 户 都 可 以 进行 ,但 需要 较 好 的 杀毒 软件 。 这 种 方法 可 以 方便 地 检测 大 量 的 
病毒 ,但 是 ,自动 检测 工具 只 能 识别 已 知 病毒 ,而 且 自 动 检测 工具 的 发 展 总 是 滞后 于 病毒 的 
发 展 , 所 以 检测 工具 对 一 些 未 知 病毒 不 能 识别 。 

手工 检测 方法 操作 难度 大 ,技术 复杂 , 它 需 要 操作 人 员 有 一 定 的 软件 分 析 经 验 以 及 对 操 
作 系 统 有 一 定 深入 的 了 解 。 而 自动 检测 方法 操作 简单 ,使 用 方便 ,适合 于 一 般 的 计算 机 用 户 
学 习 使 用 。 但 是 ,由 于 计算 机 病毒 的 种 类 较 多 ,程序 复杂 ,再 加 上 不 断 出 现 病毒 的 变种 ,所 以 
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自动 检测 方法 不 可 能 检测 所 有 未 知 的 病毒 。 在 出 现 一 种 新 型 病毒 时 ,如 果 现 有 的 各 种 杀毒 
工具 无 法 检测 这 种 病毒 , 则 只 能 用 手工 方法 进行 病毒 的 检测 。 其 实 ,自动 检 测 也 是 在 手工 检 
测 成 功 的 基础 上 把 手工 检测 方法 程序 化 后 所 得 到 的 。 因 此 ,手工 检测 病毒 是 最 基本 和 最 有 
力 的 工具 。 

2) 病毒 命名 规则 

杀毒 软件 报告 中 出 现 的 病毒 名 大 体 都 是 采用 一 个 统一 的 命名 规则 来 命名 ,其 一 般 格 
RH: 


< 病毒 前 级 >. < 病毒 名 >.< 病 毒 后 组 > 


病毒 前 级 指 一 个 病毒 的 种 类 ,不 同 种 类 的 病毒 ,其 前 级 也 是 不 同 的 。 如 常见 的 木马 病毒 
的 前 级 是 Trojan, 蠕 虫 病毒 的 前 级 是 Worm 等 。 

病毒 名 指 一 个 病毒 的 家 族 特征 ,用 来 区 别 和 标识 病毒 家 族 。 如 著名 的 CIH 病毒 的 家 族 
名 都 是 统一 的 CIH ,振荡 波 蠕虫 病毒 的 家 族 名 是 Sasser 等 。 

病毒 后 级 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病 毒 的 某 个 变种 。 一 般 都 
采用 英文 中 的 26 个 字母 来 表示 ,如 Worm. Sasser. b 指 振荡 波 蠕虫 病毒 的 变种 B, 因 此 一 般 
称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变种 B”"。 如 果 该 病毒 变种 非常 多 (也 表明 该 病毒 生命 力 
奖 强 ), 可 以 采用 数字 与 字母 混合 表示 变种 标识 。 

常见 病毒 类 型 与 病毒 前 级 如 表 4-1 所 示 。 

表 4-1 病毒 类 型 与 病毒 前 绿 


病毒 类 型 病毒 前 绥 
系统 病毒 Win32、PE、Win95、W32、W95 等 。 感 染 Windows 操作 系统 的 * .exe 和 *. dil 
jiis 文件 ,并 通过 这 些 文件 进行 传播 ,如 CIH 病毒 
ee Worm。 通 过 网 络 或 系统 漏洞 进行 传播 ,如 冲击 波 (阻塞 网 络 ), 小 邮差 (发 带 毒 邮 
= 件 ) 竺 
木马 病毒 其 前 级 是 : Trojan ,黑客 病 毒 前 组 名 一 般 为 Hack 
木马 病毒 木马 病毒 通过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ,然后 向 外 界 泄露 用 户 
黑客 病毒 的 信息 ; 黑客 病毒 有 一 个 可 视 的 界面 ,能 对 用 户 的 计算 机 进行 远程 控制 。 它 们 往 
往 是 成 对 出 现 的 , 即 木 马 病毒 负责 侵入 用 户 的 计算 机 ,而 黑客 病毒 则 会 通过 该 木 
马 病毒 来 进行 控制 ,现在 二 者 越 来 越 趋 向 于 整合 
Script。 使 用 脚本 语言 编写 ,通过 网 页 进行 的 传播 的 病毒 ,如 红色 代码 (Script 
脚本 病毒 . Redlof) 。 脚 本 病毒 还 会 有 如 下 前 组 : VBS、JS( 表 明 是 何 种 脚本 编写 的 ) ,如 欢乐 
时 光 (VBS. Happytime) , + PY H (Js. Fortnight. c. s) 
宏 病 毒 脚本 病毒 的 一 种 ,前 级 是 : Macro, 如 梅 莉 莎 (Macro. Melissa) 
后 门 病 毒 Backdoor。 通 过 网 络 传播 ,给 系统 开 后 门 , 给 用 户 计算 机 带 来 安全 隐患 ,如 IRC 
后 门 Backdoor. IRCBot 
病毒 种 植 Dropper。 运 行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ,由 释放 出 
程序 病毒 来 的 新 病毒 产生 破坏 ,如 冰河 播种 者 (Dropper. BingHe2. 2C) 
破坏 性 程序 病毒 Harm。 本 身 具 有 好 看 的 图 标 来 诱惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 便 
会 直接 对 用 户 计 算 机 产生 破坏 ,如 格式 化 C 盘 (Harm. formatC. f) 
玩笑 病毒 Joke。 本 身 具 有 好 看 的 图 标 来 诱惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 会 做 
出 各 种 破坏 操作 来 吓 晓 用 户 , 如 女 鬼 (Joke. Girlghost) 病毒 
Binder。 使 用 特定 的 捆绑 程序 将 病毒 与 一 些 应 用 程序 如 QQ、IE 捆绑 起 来 , 当 用 
捆绑 机 病毒 户 运行 这 些 拥 绑 病毒 时 ,会 表面 上 运行 这 些 应 用 程序 ,然后 隐藏 运行 拥 绑 在 一 起 
的 病毒 :如 拥 绑 QQ(Binder. QQPass. QQBin) 
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3) 病毒 检测 的 原理 

病毒 检测 的 原理 包括 利用 病毒 特征 代码 串 的 特征 代码 法 、 利 用 文件 内 容 校 验 的 校 验 和 
法 ,利用 病毒 特有 行为 特征 的 行为 监测 法 、 用 软件 虚拟 分 析 的 软件 模拟 法 、 比 较 被 检测 对 象 
与 原始 备份 的 比较 法 、 利 用 病毒 特性 进行 检测 的 感染 实验 法 以 及 运用 反 汇 编 技 术 分 析 被 检 
测 对 象 确认 是 否 为 病毒 的 分 析 法 。 

(1) 特征 代码 法 : 被 认为 是 用 来 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 其 原理 是 
将 所 有 病毒 的 代码 加 以 剖析 ,并且 将 这 些 病 毒 独 有 的 特征 搜集 在 一 个 病毒 特征 码 资料 库 中 ， 
简称 “病毒 库 ”。 检 测 时 ,以 扫描 的 方式 将 待 检测 程序 与 病毒 库 中 的 病毒 特征 码 进行 一 一 对 
比 , 如 果 发 现 有 相同 的 代码 , 则 可 判定 该 程序 已 遭 病毒 感染 。 

特征 代码 法 检测 准确 ,快速 ,能 识别 病毒 的 名 称 , 误 报 率 低 , 并 能 依据 检测 结果 ,做 相应 
的 杀毒 处 理 等 优点 。 但 该 方法 不 能 检测 未 知 病毒 ,同时 ,对 于 搜集 已 知 病毒 的 特征 代码 , 费 
用 开销 大 。 

(2) 校 验 和 法 : 是 根据 正常 文件 的 内 容 , 计 算 其 “ 校 验 和 ”, 将 该 校 验 和 写 入 文件 中 保 
存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 根据 文件 现 有 内 容 算出 的 校 验 和 与 
原来 保存 的 校 验 和 是 否 一 致 ,以 此 来 发 现 文件 是 否 感染 病毒 。 采 用 校 验 和 法 检测 病毒 , 既 可 
发 现 已 知 病毒 又 可 发 现 未 知 病毒 。 在 许多 常用 的 检测 工具 中 ,都 采用 了 这 种 方法 。 

校 验 和 法 不 能 识别 病毒 种 类 ,不 能 报 出 病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改变 的 
唯一 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 ,所 以 校 验 和 法 常常 误 报 ,而 且 这 种 方 
法 也 会 影响 文件 的 运行 速度 。 

病毒 感染 的 确 会 引起 文件 内 容 变化 ,但 是 校 验 和 法 对 文件 内 容 的 变化 太 敏感 ,又 不 能 区 分 
正常 程序 引起 的 变动 。 当 已 有 软件 版 本 更 新 .变更 口令 或 修改 运行 参数 时 , 校 验 和 法 都 会 
误 报 。 

校 验 和 法 对 隐蔽 性 病毒 无 效 。 因 为 隐蔽 性 病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 
病毒 代码 ,使 校 验 和 法 受骗 ,对 一 个 有 毒 文件 算出 正常 校 验 和 。 

校 验 和 法 的 优点 是 : 方法 简单 .能 发 现 未 知 病毒 .被 查 文件 的 细微 变化 也 能 发 现 。 缺 点 
是 : 必须 预先 记录 正常 状态 的 校 验 和 、 会 误 报 ,不 能 识别 病毒 名 称 .不 能 对 付 隐 项 型 病毒 。 

(3) 行为 监测 法 : 利用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 , 称 为 行为 监测 法 。 

通过 对 病毒 多 年 的 观察 研究 ,人 们 发 现 有 一 些 行为 是 病毒 的 共同 行为 ,而 且 比 较 特殊 ， 
如 抢占 INT 13H 号 中 断 、 修 改 DOS 系统 数据 区 的 内 存 总 量 、 更 改 . com 文件 、. exe 文件 内 
容 等 。 当 程序 运行 时 ,监视 其 行为 ,如 果 发 现 了 病毒 行为 ,立即 报警 。 

采用 行为 监测 法 检测 病毒 可 发 现 未 知 病毒 ,但 也 可 能 误 报 或 不 能 识别 病毒 名 称 。 

(4) 软件 模拟 法 : 多 态 性 病毒 每 次 感染 后 其 病毒 代码 都 会 发 生变 化 ,对 付 这 种 病毒 , 特 
征 代码 法 失效 。 因 为 多 态 性 病毒 代码 实施 密码 化 ,而 且 每 次 所 用 密 钥 不 同 , 把 染 毒 文件 中 的 
病毒 代码 相互 比较 ,也 各 不 相同 ,无 法 找 出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 检测 
法 可 以 检测 多 态 性 病毒 ,但 是 在 检测 出 病毒 后 ,由 于 不 知 病毒 的 种 类 ,难于 做 杀毒 处 理 。 

为 了 检测 多 态 性 病毒 ,国外 研制 了 新 的 检测 方法 一 一 软件 模拟 法 。 它 是 一 种 软件 分 析 
器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 ,并 演绎 为 在 虚拟 机 上 进行 查 毒 、 启 发 式 查 毒 等 ,是 
相对 成 熟 的 技术 。 

新 型 检测 工具 纳入 了 软件 模拟 法 ,这 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 , 如 
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果 发 现 隐蔽 病毒 或 多 态 性 病毒 嫌疑 时 ,启动 软件 模拟 模块 ,监视 病毒 的 运行 , 待 病毒 自身 的 
密码 译 码 以 后 ,再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

(5) 比较 法 : 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 的 方法 。 

比较 法 包括 长 度 比较 法 内容 比较 法 .内 存 比 较 法 ,中断 比较 法 等 。 这 种 比较 法 不 需要 
专用 的 查 病 毒 程序 ,只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 

比较 法 还 可 以 发 现 那些 尚 不 能 被 现 有 查 病 毒 程序 发 现 的 计算 机 病毒 。 因 为 病毒 传播 很 
快 ,新 病毒 层出不穷 ,而 目前 还 没有 通用 的 能 查 出 一 切 病毒 或 通过 代码 分 析 可 以 判定 某 个 
程序 中 是 否 含有 病毒 的 查 毒 程序 ,发 现 新 病毒 就 只 有 靠 比较 法 和 分 析 法 ,有 时 必须 结合 这 两 
者 一 同 工 作 。 

(6) 感染 实验 法 : 是 一 种 简单 实用 的 病毒 检测 方法 。 由 于 病毒 检测 工具 落后 于 病毒 的 
发 展 , 当 病 毒 检测 工具 不 能 发 现 病毒 时 ,采用 感染 实验 法 可 以 检测 出 病毒 检测 工具 不 认识 的 
新 病毒 ,可 以 摆脱 对 病毒 检测 工具 的 依赖 ,自主 地 检测 可 疑 新 病毒 。 

感染 实验 法 的 原理 是 利用 病毒 的 感染 性 。 所 有 的 病毒 都 会 进行 感染 ,如 果 不 会 感染 ,就 
不 称 其 为 病毒 。 如 果 系 统 中 有 异常 行为 ,最 新 版 的 检测 工具 也 查 不 出 病毒 时 ,就 可 以 使 用 感 
染 实 验 法 : 运行 可 疑 系统 中 的 程序 后 ,再 运行 一 些 确切 知道 不 带 毒 的 正常 程序 ,然后 观察 这 
些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 增长 ,或 者 校 验 和 发 生变 化 ,就 可 断言 系统 
中 有 病毒 。 

(7) 分 析 法 : 使 用 分 析 法 要 求 具有 比较 全 面 的 有 关 计 算 机 、DOS 结构 和 功能 调用 以 及 
关于 病毒 方面 的 各 种 知识 。 使 用 分 析 法 的 人 一 般 是 反 病毒 技术 人 员 。 

分 析 的 步骤 分 为 动态 和 静态 两 种 。 静 态 分析 是 指 利用 DEBUG 等 反 汇编 程序 将 病毒 代 
码 打 印 成 反 汇 编 后 的 程序 清单 进行 分 析 , 看 病毒 分 成 哪些 模块 ,使 用 了 哪些 系统 调用 ,采用 
了 哪些 技巧 ,然后 将 病毒 感染 文件 的 过 程 转换 为 清除 病毒 ,修复 文件 的 过 程 ,决定 哪些 代码 
可 被 用 做 特征 码 以 及 如 何 防御 这 种 病毒 。 

动态 分 析 是 指 利用 DEBUG 等 程序 调试 工具 在 内 存 带 毒 的 情况 下 ,对 病毒 做 动态 跟踪 ， 
观察 病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 病毒 工作 的 原理 。 在 病毒 纺 
码 比较 简单 的 情况 下 ,动态 分 析 不 是 必需 的 。 但 当 病毒 采用 了 较 多 的 技术 手段 时 ,必须 使 用 
动静 相 结 合 的 分 析 方法 才能 完成 整个 分 析 过 程 。 

2. 计算 机 病毒 的 清除 技术 

计算 机 病毒 的 清除 是 指 将 计算 机 病毒 从 感染 对 象 中 清除 的 过 程 。 计 算 机 病毒 的 清除 技 
术 一 般 采 用 还 原 技术 ,根据 病毒 的 传染 方式 设计 反 病 毒 程序 。 根 据 不 同类 型 病毒 的 感染 方 
式 ,需要 采取 不 同 的 方法 进行 恢复 。 如 对 破坏 性 传染 的 病毒 ( 即 采用 部 分 覆盖 方式 传染 的 病 
毒 ), 只 能 用 未 被 破坏 的 正常 程序 去 覆盖 ,以 达到 清除 病毒 的 目的 ; 对 于 宏 病 毒 的 清除 ,要 清 
除 指向 宏 的 链接 及 宏 本 身 。 

将 病毒 从 感染 对 象 中 清除 以 后 ,要 求 恢复 到 被 感染 之 前 的 状态 。 对 内 存 中 的 病毒 ,要 将 
被 病毒 修改 的 中 断 向 量 表 、 函 数 入 口 等 恢复 为 原 值 ; 对 文件 中 的 病毒 ,要 将 病毒 修改 的 程序 
入 口 指针 恢复 为 原 值 、 清 除 文件 中 的 病毒 体 等 ; 对 引导 区 中 的 病毒 ,将 引导 区 的 内 容 恢 复 ， 
使 磁盘 中 的 操作 系统 能 正常 地 启动 ,将 分 区 表 等 关键 信息 恢复 为 原 值 。 

下 面 是 清除 计算 机 病毒 的 步骤 : 
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(1) 首先 必须 对 系统 破坏 程度 有 一 个 全 面 的 了 解 , 并 根据 破坏 的 程度 来 决定 采用 有 效 
的 计算 机 病毒 清除 方法 和 对 策 。 

如 果 受 破坏 的 大 多 是 系统 文件 和 应 用 程序 文件 ,并 且 感 染 程度 较 深 ,那么 可 以 采取 重 装 
系统 的 办 法 来 达到 清除 计算 机 病毒 的 目的 。 而 对 感染 的 是 关键 数据 文件 ,或 比较 严重 的 时 
候 , 例 如 硬件 被 CIH 计算 机 病毒 破坏 ,就 可 以 考虑 请 防 杀 计算 机 病毒 专家 来 进行 清除 和 数 
据 恢 复工 作 。 

(2) 修复 前 , 尽 可 能 再 次 备份 重要 的 数据 文件 。 目 前 防 杀 计算 机 病毒 软件 在 杀毒 前 一 
般 都 能 够 保存 重要 的 数据 和 感染 的 文件 ,以 便 在 误杀 或 造成 新 的 破坏 时 恢复 现场 。 但 是 对 
那些 重要 的 用 户 数据 文件 还 是 应 该 在 杀毒 前 手工 单独 进行 备份 ,备份 不 能 做 在 被 感染 破坏 
的 系统 内 ,也 不 应 该 与 平时 的 常规 备份 混在 一 起 。 

G) 启动 杀毒 软件 ,并 对 整个 硬盘 进行 扫描 。 某 些 计 算 机 病毒 在 Windows 95/98 状态 
下 无 法 完全 清除 (如 CIH 计算 机 病毒 ) ,此 时 应 使 用 事先 准备 的 未 感染 计算 机 病毒 的 DOS 
系统 软盘 启动 系统 ,然后 在 DOS 下 运行 相关 杀毒 软件 进行 清除 。 

(4) 发 现 计 算 机 病毒 后 ,一 般 应 利用 杀毒 软件 清除 文件 中 的 计算 机 病毒 ,如 果 可 执行 文 
件 中 的 计算 机 病毒 不 能 被 清除 ,一 般 应 将 其 删除 ,然后 重新 安装 相应 的 应 用 程序 。 

(5) 杀毒 完成 后 ,重启 计算 机 ,再 次 用 杀毒 软件 检查 系统 中 是 否 还 存在 计算 机 病毒 ,并 
确定 被 感染 破坏 的 数据 确实 被 完全 恢复 。 

(6) 对 于 杀毒 软件 无 法 杀 除 的 计算 机 病毒 ,还 应 将 计算 机 病毒 样本 送 交 防 杀 计算 机 病 
毒 软件 厂商 的 研究 中 心 ,以 供 详细 分 析 。 

3. 计算 机 病毒 的 预防 技术 

计算 机 病毒 的 预防 ,是 指 通过 建立 合理 的 计算 机 病毒 预防 体系 和 制度 ,及 时 发 现 计算 机 
病毒 人 侵 , 并 采取 有 效 的 手段 阻止 计算 机 病毒 的 传播 和 破坏 ,恢复 受 影响 的 计算 机 系统 和 
数据 。 

计算 机 病毒 的 检测 和 清除 是 一 种 被 动 的 方法 ,而 计算 机 病毒 的 预防 则 是 一 种 主动 的 手 
段 。 预 防 方式 包括 采用 管理 手段 预防 和 采用 技术 手段 预防 。 

1) 管理 手段 预防 

加 强 对 计算 机 系统 使 用 的 管理 ,制定 一 些 管理 措施 (如 限制 使 用 外 来 程序 等 ) 来 防止 计 
算 机 病毒 的 侵入 。 管 理 措施 对 病毒 的 预防 是 通过 牺牲 系统 数据 共享 的 灵活 性 而 换 得 系统 的 
安全 性 。 

2) 技术 手段 预防 

通过 免疫 软件 和 预警 软件 等 技术 措施 来 预防 计算 机 病毒 对 系统 的 入侵 。 常 用 的 技术 手 
段 包括 : 

(1) 病毒 免疫 技术 : 对 执行 程序 附加 一 段 程序 ,这 段 附 加 的 程序 负责 执行 程序 的 完整 
性 检验 ,发 现 问题 时 自动 恢复 原 程序 。 

(2) 校 验 码 技术 : 对 系统 内 的 有 关 程 序 代 码 按照 一 定 的 算法 ,计算 出 其 特征 参数 并 加 
以 保存 ,执行 程序 代码 时 进行 校 验 。 

(3) 病毒 行为 规则 判定 技术 : 采用 人 工 智 能 的 方法 ,归纳 出 病毒 的 行为 特征 ,进行 比较 。 

(4) 计算 机 病毒 防火 墙 : 采用 一 种 实时 双向 过 滤 技 术 , 起 到 “双向 过 滤 ” 的 作用 ,具有 对 
病毒 过 滤 的 实时 性 。 对 系统 的 所 有 操作 实时 监控 ,一 方面 将 来 自 外 部 环境 的 病毒 代码 实时 
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过 滤 掉 , 另 一 方面 阻止 病毒 在 本 地 系统 扩散 或 向 外 部 环境 传播 。 

在 与 病毒 的 对 抗 中 ,及 早 发 现 病毒 是 关键 之 一 。 病 毒 往往 都 有 一 个 潜伏 期 ,如果 能 在 病 
毒 发 作 之 前 及 时 发 现 , 就 可 以 采取 对 应 措施 进行 清除 以 避免 其 发 作 ,而 且 也 能 够 尽量 地 缩小 
病毒 传播 的 范围 。 显 然 , 阻 止 病毒 的 入侵 比 病毒 人 侵 后 再 去 发 现 和 排除 它 重 要 得 多 。 


4.2.9 计算 机 病毒 的 发 展 历史 及 趋势 


人 类 在 20 世纪 40 年 代 研制 出 了 第 一 台 计 算 机 ,1949 年 Von Neumann 提出 了 计算 机 
程序 自我 复制 的 概念 ,勾画 出 了 计算 机 病毒 的 蓝图 。1977 年 美国 作家 雷 恩 在 其 科幻 小 说 
The Adolescence of P-1 中 提出 了 计算 机 病毒 的 概念 。1983 年 美国 计算 机 安全 专家 Fred 
Cohen 通过 实验 制造 了 世界 上 第 一 例 计 算 机 病毒 。1986 年 , Brain 病毒 (也 称 Pakistain 
Brain 病毒 ) 成 了 第 一 个 在 世界 上 流行 的 引导 型 病毒 。 其 后 ,计算 机 病毒 的 发 展 经 历 了 DOS 
时 代 、Windows 时 代 、 网 络 时 代 等 阶段 。 

1. DOS 病毒 阶段 

DOS 时 代 分 为 DOS 引导 阶段 (1987 年 前 为 引导 型 病毒 ) 和 DOS 可 执行 阶段 (1989 年 
出 现 文件 型 病毒 ,1990 年 起 发 展 为 混合 型 病毒 ) 。 

这 些 病毒 直接 修改 部 分 中 断 向 量 表 ,不 隐藏 不 加 密 自身 代码 ,因此 很 容易 被 查 出 和 清 
除 。 例 如 ,感染 引导 区 的 Stone 病毒 .小 球 病毒 和 磁盘 杀手 等 ,感染 文件 的 耶路撒冷 病毒 AE 
也 纳 病 毒 和 扬 基 病毒 等 。 

1) 系统 引导 型 病毒 

(1) 石头 (Stone) 病 毒 : 其 表现 症状 为 显示 Your PC is Now Stoned。 它 藏身 于 硬盘 的 
主 引导 扇 区 和 软盘 的 引导 扇 区 中 。 感 染 硬 盘 时 , 主 引导 记录 被 移 到 0 道 0 面 7 扇 区 ; 感染 
软盘 时 ,把 原 BOOT 区 内 容 写 人 0 道 1 面 3 扇 区 。 发 作 后 可 能 会 导致 某 些 硬盘 和 软盘 无 法 
再 使 用 。 

(2) 米 开 朗 基 罗 病毒 : 判断 是 否 为 3 月 6 日 ( 米 开 朗 基 罗 的 生日 ) , 若 满足 ,病毒 程序 就 
会 将 内 存 中 的 一 块 随机 数据 写 和 启动 盘 中 从 第 一 物理 区 开始 的 整个 磁盘 ,从 而 导致 磁盘 中 
数据 全 部 丢失 。 

(3) 香港 病毒 : 硬盘 启动 一 次 ,病毒 内 部 计数 器 加 1, 当 系统 从 硬盘 启动 次 数 累计 达 224 
次 后 ,病毒 程序 就 会 将 打印 口 PRN1 和 通信 口 COMI 的 地 址 置 为 00, 使 系统 误 认为 未 配置 
通信 口 和 打印 机 ,无 法 联机 通信 和 打印 。 

(4) 磁盘 杀手 病毒 : 感染 硬盘 时 把 一 部 分 病毒 程序 存放 在 引导 扇 区 ,其 他 部 分 存放 在 
磁盘 上 标记 为 坏 复 的 扇 区 中 。 当 病毒 程序 记 数 达 48 小 时 时 ,执行 类 似 于 磁盘 格式 化 的 数据 
销毁 功能 ,使 磁盘 无 法 使 用 ,只 有 重新 格式 化 后 才能 使 用 ,但 原来 的 信息 全 部 丧失 。 

2) 文件 型 病毒 

(1) 黑色 星期 五 病毒 : 病毒 程序 位 于 已 感染 病毒 的 . com 文件 的 最 前 端 , 对 于 . exe 文件 
则 位 于 文件 的 后 面 。 

破坏 分 为 两 种 : 一 种 是 在 病毒 程序 内 部 设置 计数 器 , 当 值 为 2 时 ,在 屏幕 上 显示 "长 方 
块 ”, 若 值 为 0 时 ,通过 执行 无 用 的 字符 循环 程序 来 减 慢 系统 速度 ; 另 一 种 是 日 期 和 星期 计 
数 , 当 系统 日 历 为 13 日 且 是 星期 五 时 ,在 系统 中 运行 的 . exe 文件 和 . com 文件 就 会 被 删除 。 

(2) 瀑布 病毒 : 又 名 雨点 病毒 ,专门 攻击 . com 文件 的 文件 型 病毒 ,发 作 时 锁 死 键盘 , 屏 
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幕 上 字符 如 同 瀑布 般 地 一 个 个 脱落 到 屏幕 底部 ,并 发 出 响声 。 由 于 采用 了 数据 加 密 算法 ,从 
而 难以 被 检测 。 其 表现 /破坏 模块 采取 了 一 个 复杂 的 激活 方式 : 涉及 许多 参数 ,如 计时 器 的 
计数 值 键盘 状态 ,硬盘 数据 、 打 印 机 参数 、 机 器 类 型 .监视 器 类 型 有 无 时 钟 卡 以 及 系统 日 
期 等 。 

(3) 扬 基 (Yankee) 病毒 : 被 感染 的 文件 大 小 增加 约 3KB, 发 作 时 会 使 机 器 奏 Yankee 
Dodle 的 美国 民歌 。 该 病毒 采用 了 反 跟 踪 技术 , 当 它 发 现 DEBUG 工具 跟踪 时 ,会 自动 从 文 
件 中 逃走 ,以 抵抗 用 户 的 检测 。 

(4) DIR-2 病毒 : 采用 特殊 的 引导 方式 和 传染 机 制 , 标 志 着 一 种 特殊 类 型 的 病毒 的 出 
现 。 被 传染 的 文件 长 度 不 变 , 但 文件 在 目录 表 中 的 首 簇 被 修改 ,指向 存放 的 病毒 程序 处 ( 存 
放 在 该 盘 的 最 后 一 复 中 ) 。 它 不 修改 系统 的 中 断 向 量 ,而 是 通过 修改 系统 中 设备 驱动 程序 的 
入 口 ,从 而 获得 对 系统 的 控制 。 

3) 混合 型 病毒 

新 世纪 病毒 : 5 月 4 日 删除 当前 加 载 执行 的 可 执行 文件 ,并 显示 字符 信息 “New 
Century of Computer Now!”. 

当 用 户 试图 向 硬盘 开始 处 的 6 个 扇 区 (病毒 寄生 区 ) 写 人 数据 时 ,病毒 程序 会 拒绝 写 人 ， 
但 反馈 给 调用 程序 的 出 口 参数 仍 表 示 写 盘 正 确 。 

当 试图 读 取 主 引导 扇 区 内 容 时 ,病毒 程序 又 会 从 0 道 0 面 2 扇 区 读 取 原 主 引 导 程 序 备 
份 数据 ,以 此 蒙骗 用 户 。 

2. Windows 病毒 阶段 

随 着 Windows 95 操作 系统 的 普及 ,1995 年 起 进入 了 Windows 病毒 阶段 ,其 最 大 的 特 
点 是 大 量 DOS 病毒 的 消失 及 宏 病 毒 的 兴起 。 

1) 传统 型 Windows 病毒 

由 于 运行 在 Windows 9X 的 可 执行 文件 的 结构 与 DOS 下 可 执行 文件 大 相 径 庭 ,DOS 
病毒 在 Windows 9X 环境 下 失去 了 进一步 破坏 或 传染 的 可 能 性 ,最 后 大 多 数 销声匿迹 。 病 
毒 制造 者 开始 根据 Windows 可 执行 文件 的 结构 改写 病毒 的 传染 模块 ,产生 了 部 分 传统 型 的 
Windows 病毒 ,其 中 佼佼 者 便 是 CIH 病毒 。CIH 病毒 的 出 现 ,标志 着 以 DOS 系统 攻击 对 
象 的 计算 机 病毒 逐渐 让 位 于 针对 Windows 的 病毒 。 

CIH 病毒 是 首 例 直接 破坏 计算 机 系统 硬件 的 病毒 。 发 作 时 ,利用 Win95/ Win98 的 高 
级 电源 管理 功能 进行 破坏 ,通过 随机 调用 内 存 数据 ,从 硬盘 物理 最 先 位 置 开 始 ,逐一 往 下 写 
随机 数据 ,从 而 覆盖 硬盘 主 引 导 区 和 BOOT 区 ,改写 硬盘 数据 。 此 外 还 会 用 随机 数据 改写 
部 分 可 升级 主板 的 Flash BIOS 系统 程序 ,导致 机 器 无 法 运行 。 

2) 宏 病 毒 

另 一 类 Windows 病毒 制造 者 改变 思路 ,放弃 可 执行 文件 ,将 目标 转向 了 具备 宏 功 能 的 
文档 。1995 年 ,首次 出 现 了 针对 Word 6.0 文档 的 宏 语 言 病毒 , 它 感 染 Word 文件 ,而 不 是 
传染 软 硬 盘 或 可 执行 的 二 进 制 文件 。 

宏 是 定制 的 命令 ,由 一 系列 Word 命令 和 动作 组 成 ,可 以 使 用 Word Basic 宏 语言 来 创 
建 复杂 的 宏 ,执行 宏 时 ,将 这 些 命令 或 动作 激活 。 宏 可 以 对 所 有 的 文档 有 效 , 也 可 以 只 对 那 
些 基 于 特定 模板 的 文档 有 效 。 如 打开 文档 时 ,首先 执行 系统 内 部 模板 或 当前 模板 的 
FileOpen 宏 ,打开 该 文档 后 ,再 根据 该 文档 所 对 应 的 模板 执行 AutoOpen 宏 。 当 打开 一 个 带 
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病毒 的 模板 后 ,该 模板 可 以 通过 执行 其 中 的 宏 程序 (如 AutoOpen 宏 ) ,将 自身 所 携带 的 病毒 
宏 程序 拷贝 到 Word 系统 中 的 通用 模板 中 。 若 使 用 带 毒 模板 对 文件 进行 操作 时 (如 存盘 
等 ) ,就 将 该 文档 文件 重新 存盘 为 带 毒 模板 文件 , 即 由 原来 不 带 宏 程序 的 纯 文本 文件 转换 为 
带 病 毒 的 模板 文件 。 

Word 宏 病 毒 编写 容易 ,一 个 略 懂 Visual Basic for Word 的 人 利用 几 条 代码 就 能 够 完成 
一 个 宏 病 毒 的 破坏 模块 ,用 几 十 条 代码 就 能 够 完成 一 个 宏 病 毒 的 传染 模块 ,于 是 , 宏 病 毒 开 
始 泛滥 起 来 。 

(1) 台湾 No. 1 宏 病 毒 : 每 月 13 日 改作。 发 作 时 ,屏幕 上 出 现 对 话 框 请 用 户 计算 数值 , 除 
非 答 对 ,否则 将 无 法 退出 Word。 而 所 出 的 题目 数值 是 很 大 的 ,例如 : 7003 X 3265 X 1357 X 
48921X97 王 ?。 如 果 答 错 就 会 开 出 20 份 新 文件 ,然后 再 出 1 道 计算 题 ,如 此 循环 下 去 ,不 但 
占用 内 存 , 而 且 还 会 造成 硬盘 文件 链 的 丢失 。 

(2) Cap KIIRE: 可 以 解决 早期 的 宏 病 毒 存在 的 三 个 问题 。SaveAs 问题 ( 当 用 SaveAs 
指令 存放 文档 时 ,感染 后 的 文档 不 允许 用 户 选 择 目 录 、 路 径 和 文件 类 型 ) .语言 版 本 问题 (不 
同 语言 版 本 Word 下 创建 的 宏 病 毒 通常 不 能 在 其 他 语言 版 本 的 Word 中 传播 )、 生 存 问 题 
( 当 系 统 中 已 经 有 了 一 个 宏 病 毒 ,在 打开 的 文件 中 又 有 另 一 种 宏 病 毒 ,第 二 个 文档 中 又 有 第 
三 种 ,此 时 谁 能 生存 下 来 ?)。 

(3) Strange Days 宏 病 毒 : 第 一 个 同时 感染 Word 和 Excel 的 宏 病 毒 , 并 具有 关闭 
Office 97 预警 机 制 的 能 力 。 

3) 宏 病毒 的 预防 

除了 使 用 杀毒 软件 预防 宏 病毒 外 ,还 可 以 使 用 Word 本 身 的 设置 进行 预防 。 

【 例 4-1) 设置 宏 安 全 级 别 。 

(1) 打开 Word 2003 ,执行 “工具 ?| "选项 命令 ,出现 * 选 项 对话 框 , 单 击 其 中 的 “安全 
性 ?选项 卡 ,如 图 4-2 所 示 。 


| 拼写 和 语法 | 修订 | 用 户 信息 | me | 中 文 版 式 | 文件 位 置 | 
| 视图 RA 编辑 打印 | 保存 | [安全 性 
此 文档 的 文件 加 密 选 项 
打开 文件 时 的 密码 © ] LE |] 
此 文档 的 文件 共享 选项 
修改 文件 时 的 密码 W 


建议 以 只 读 方式 打开 文档 邓 ) 


当主 答 名 Q)， ] 


Fae 

RF ASCH RE PPR T ATE) 

打印 、 保 存 或 发 送 包 合 修订 或 批注 的 文件 之 前 给 出 警 肖 Ww) 
局 存储 用 于 增强 合并 精确 性 的 随机 编号 I) 

对 | 打开 或 保存 时 标记 可 见 W 

BRA 


e 


Lae J)O 取消 


42 “安全 性 ?选项 卡 
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(2) 单 击 “ 宏 安全 性 ”按钮 ,出 现 如 图 4-3 所 示 的 对 话 框 。 


(FEDO) 可 靠 发 行商 ) | 


〇 非 窜 高 。 只 区 许 运行 安装 在 受信 任 位 置 的 室 。 所 有 其 他 签署 的 
和 未 经 签 署 的 宏 都 桂 该 禁用 W. 


© 只 允许 运行 可 靠 来 源 签署 的 宏 ， 未 经 签署 的 宏 会 自动 职 消 


O 中 ,您 可 以 选择 是 否 运行 可 能 不 安全 的 宏 W. 


OB Gane, setane, mrusameTnTes 
i TT 


已 安装 病毒 检查 程序 。 


图 4-3 “安全 性 ”对 话 框 


(3) 将 安全 级 别 由 默认 的 “高 "修改 为 “非常 高 ”, 单 击 “ 确 定 ” 按 钮 。 经 过 设置 后 可 以 防 
止 除 Word 默认 的 宏 以 外 的 其 他 宏 运 行 ,有 效 预 防 了 宏 病 毒 。 

【 例 4-2】 HAL VBA 彻底 预防 宏 病 毒 。 

(1) 双击 “控制 面板 ”中 的 “添加 /删除 程序 "图标, 出 现 如 图 4-4 所 示 的 界面 。 


B 添加 或 副 除 程序 


当前 安装 的 程序 显示 更 新 @) 排序 方式 E) : | 名 称 


@ Macromedia Authorware 6.5 大 小 155.0018 ^ 
Ba Microsoft Office FrontPage 2003 大 小 ”341.00WB 
pò Microsoft Office Professional Edition 2003 大 小 502. 008 
单 击 此 处 获得 支持 信息 。 已 使 用 有 时 
上 次 使 用 日 期 2005-5-14 
要 更 改 此 程序 或 格 它 从 计算 机 删除 , 单 击 “ 更 改 ” 或 “删除 ”。 Ez 


en wR C3 Microsoft Office Visio Professional 2003 大 小 335. 00MB 


BED (5) Microsoft Visual Basic 6.0 中 文 企业 版 (简体 中 文 ) 大 小 74.23MB 
E Microsoft Web 发 布 向 导 1.53 
fE MicroStafé YTRASTT 大 小 23MB 
Q MPS Player Utilities 大 小 3.56MB 
ip Nero - Burning Rom 大 小 73.54MB 
È QuickTime 大 小 2.64MB 
Æ RAW FILE CONVERTER LE Ay 5.42MB 


O RealPlayer Ady 36. 92MB 
fEl Recltek AC’97 Audio 大 小 1. 41MB 
| pT ¢ eHh 9 71-0 


4-4 添加 /删除 程序 


(2) 找到 Microsoft Office 安装 项 , 单 击 * 更 改 ? 按 钮 ,出 现 如 图 4-5 所 示 的 界面 。 

(3) 选择 “添加 或 删除 功能 ? 单 选 按钮 , 单 击 * 下 一 步 ? 按 钮 ,出现 如 图 4-6 所 示 的 界面 。 

(4) 选中 “选择 应 用 程序 的 高 级 自 定 义 复 选 框 , 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 4-7 所 示 
的 界面 。 
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ig Microsoft Office 2003 安装 


Microsoft Office Professional Edition 2003 


@ 
Sa ORRE Oh office 203 REMERE RMS. 


Qa 
AS BEY 
Pa 
ig) OFS re Microsoft Office 2003. 


f@ Microsoft Office 2003 安装 
Microsoft Office Professional Edition 2003 


自 定 义 安装 
IPRA Se UPI nisl lao coe aie, 


Word (W) Publisher (L) 

Excel @) Access (A) 

PoverPoint Œ) InfoPath @) 

Outlook) 

InfoPath 需要 使 用 Microsoft Internet Explorer 6.0 或 更 高 版 本 。 
DRERRRE HSE CO.) 


C: 的 所 需 空间 1968 1B 
c: 的 可 用 空间 459 m 


下 一 步 中 > 取消 
图 4-6 自 定义 安装 窗口 
(5) 单 击 “Office 共享 功能 ”前 的 加 号 ,找到 Visual Basic for Application , 单 击 前 面 的 驱 
动 器 图 标 , 选 择 “ 不 安装 ”, 最 后 单 击 “ 更 新 ”按钮 ,完成 卸载 Visual Basic for Application。 这 
样 就 从 根本 上 阻止 了 宏 的 运行 , 宏 病 毒 就 没有 可 能 感染 和 传播 了 。 
3. 网 络 病毒 阶段 
1997 年 起 进入 了 网 络 病毒 阶段 。 网 络 病毒 是 指 能 在 网 络 中 传播 复制、 破坏 ,并 以 网 络 


为 平台 ,对 计算 机 产生 安全 威胁 的 所 有 程序 的 总 和 。 一 般 来 说 ,病毒 传播 通过 网 络 平台 ,从 
一 台 机 器 传染 到 另 一 台 机 器 ,然后 传 遍 网 上 的 全 部 机 器 。 一 般 只 要 网 络 上 有 一 个 站 点 上 有 
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fe Microsoft Office 2003 安装 


Microsoft Office Professional Edition 2003 
高 级 自 定 义 
请 选择 应 用 程序 和 工具 的 更 新 选项 。 


RS 时 ”从 本 机 运行 


54) Sg ze 


说 明 D “ 在 首次 使 用 时 安装 
SEER Ftice nm — —— 
fF. x 不 安装 


C: 的 所 需 空 间 1968 1B 
c: 的 可 用 空间 459 m 


<t-¢ 0) amu )] [取消 
图 4-7 高 级 自 定义 窗口 


病毒 ,那么 其 他 站 点 也 会 有 类 似 病 毒 。 一 个 网 络 系统 只 要 有 人 入口 站 点 ,那么 ,就 很 有 可 能 感 
当 上 网 络 病毒 ,使 病毒 在 网 上 传播 扩散 ,甚至 会 破坏 系统 。 

原来 的 引导 型 病毒 ,文件 型 病毒 和 混合 型 病毒 都 是 通过 磁盘 或 光盘 进行 传播 的 ,其 传播 
速度 相对 较 慢 。 而 依靠 网 络 环境 传播 的 病毒 ,传播 速度 极 快 ,破坏 性 更 加 严重 。 电 子 邮 件 、 
Web 浏览 器 .FTP 服务 器 等 Internet BY Intranet 应 用 系统 ,是 计算 机 病毒 的 新 型 寄生 和 传 
播 载体 。 

1) 网 络 病毒 的 特点 

网 络 病毒 除了 具有 可 传播 性 、. 可 执行 性 .破坏 性 等 计算 机 病毒 的 共性 外 ,还 具有 一 些 新 
的 特点 : 感染 速度 快 . 扩 散 面 广 , 传 播 的 形式 复杂 多 样 ,难于 彻底 清除 .破坏 性 大 等 。 

(1) 感染 速度 快 : 在 单机 环境 下 ,病毒 只 能 通过 介质 从 一 台 计 算 机 传染 到 另 一 台 , 而 在 
网 络 中 则 可 以 通过 网 络 通信 机 制 进 行 迅 速 扩散 。 根 据 测定 ,在 网 络 正常 工作 情况 下 ,只 要 有 
一 台 工 作 站 有 病毒 ,就 可 在 几 十 分 钟 内 将 网 上 的 数 百 台 计 算 机 全 部 感染 。 

(2) 扩散 面 广 : 由 于 病毒 在 网 络 中 扩散 速度 非常 快 ,扩散 范围 很 大 ,不 但 能 迅速 传染 局 
域 网 内 所 有 计算 机 ,还 能 通过 远程 工作 站 将 病毒 在 一 瞬间 传播 到 千里 之 外 。 

(3) 传播 的 形式 复杂 多 样 : 计算 机 病毒 在 网 络 上 一 般 是 通过 “工作 站 一 服务 器 一 工作 
站 ”的 途径 进行 传播 的 ,但 现在 病毒 技术 进步 了 不 少 , 传 播 的 形式 复杂 多 样 、 

(4) 难于 彻底 清除 : 单机 上 的 计算 机 病毒 通过 低级 格式 化 硬盘 等 措施 能 将 病毒 彻底 清 
除 。 而 网 络 中 只 要 有 一 台 工 作 站 未 能 清除 干净 ,就 可 使 整个 网 络 重新 被 病毒 感染 ,甚至 刚刚 
完成 杀毒 工作 的 一 台 工 作 站 ,就 有 可 能 被 网 上 另 一 台 带 毒 工作 站 所 感染 。 因 此 , 仅 对 工作 站 
进行 杀毒 ,并 不 能 解决 病毒 对 网 络 的 危害 。 

(5) 破坏 性 大 : 网 络 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 ， 
破坏 服务 器 ,使 网 络 骨 溃 。 

(6) 可 激发 性 : 网 络 病毒 激发 的 条 件 多 样 ,可 以 是 内 部 时 钟 、 系 统 的 日 期 和 用 户 名 ,也 
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可 以 是 网 络 的 一 次 通信 等 。 一 个 病毒 程序 可 以 按照 病毒 设计 者 的 要 求 ,在 某 个 工作 站 上 激 
发 并 发 出 攻击 。 

(7) 潜在 性 : 网 络 一 旦 感染 了 病毒 ,即使 病毒 已 被 清除 ,其 潜在 的 危险 性 也 是 巨大 的 。 
根据 统计 ,病毒 在 网 络 上 被 清除 后 ,85% 的 网 络 在 30 天 内 会 被 再 次 感染 。 

2) 网 络 病毒 的 攻击 手段 

网 络 病毒 的 攻击 手段 可 分 为 非 破 坏 性 攻击 和 破坏 性 攻击 两 类 。 非 破坏 性 攻击 一 般 是 为 
了 扰乱 系统 的 运行 ,并 不 盗窃 系统 资料 ,通常 采用 拒绝 服务 攻击 或 信息 炸弹 ; 破坏 性 攻击 是 
以 侵入 他 人 计算 机 系统 ,盗窃 系 统 保密 信息 、 破 坏 系统 的 数据 为 目的 。 

(1) 设置 网 络 木马 : 是 利用 系统 漏洞 进入 用 户 的 计算 机 系统 ,通过 修改 注册 表 自 启动 ， 
运行 时 有 意 不 让 用 户 察觉 ,将 用 户 计算 机 中 的 所 有 信息 都 暴露 在 网 络 中 。 大 多 数 黑客 程序 
的 服务 器 端 都 是 木马 。 

(2) 网 络 监听 : 是 一 种 监视 网 络 状 态 ,数据 流 以 及 网 络 上 传输 信息 的 管理 工具 , 它 可 以 
将 网 络 接口 设置 为 监听 模式 ,并 且 可 以 截获 网 上 传输 的 信息 ,这 是 黑客 使 用 最 多 的 方法 。 

G) 网 络 蠕虫 : 是 指 利用 网 络 缺 陷 和 网 络 新 技术 ,对 自身 进行 大 量 复制 的 病毒 程序 。 
它 具有 病毒 的 一 些 共 性 ,如 传播 性 、 隐 蔽 性 、 破 坏 性 等 ,同时 又 具有 自己 的 一 些 特征 ,如 不 利 
用 文件 寄生 、 对 网 络 造成 拒绝 服务 、 与 黑客 技术 相 结 合 和 

根据 网 络 晤 虫 感染 用 户 对 象 的 不 同 ,蠕虫 病 毒 分 为 两 类 ; 一 类 是 面向 企业 和 局 域 网 用 
户 , 如 “红色 代码 ”“ 尼 姆 达 ”“SQL 蠕虫 王 ” 等 ,它们 利用 系统 漏洞 主动 攻击 ,可 以 对 整个 
Internet 造成 瘫痪 性 的 后 果 。 另 一 类 是 针对 个 人 用 户 的 蠕虫 ,如 “ 爱 虫 " “求职 信 ”等 ,它们 
通过 电子 邮件 、 恶 意 网 页 等 形式 迅速 传播 。 

K 4-2 是 蠕虫 病毒 和 普通 病毒 之 间 的 区 别 。 


R42 蠕虫 病毒 与 普通 病毒 的 区 别 


蠕虫 病毒 普通 病毒 
存在 形式 独立 程序 寄存 文件 
传染 机 制 主动 攻击 宿主 程序 运行 
传染 目标 网 络 计 算 机 本 地 文件 


通过 对 比 ,可 以 预见 未 来 能 够 给 网 络 带 来 重大 灾难 的 必定 是 蠕虫 病毒 。 

CA) 捆绑 器 病毒 : 捆绑 器 病毒 是 一 个 很 新 的 概念 ,人 们 编写 这 些 程序 的 最 初 目的 是 希 
望 通过 一 次 点 击 可 以 同时 运行 多 个 程序 ,然而 这 一 工具 却 成 了 病毒 的 新 帮凶 。 例 如 ,可 以 将 

一 个 小 游戏 与 病毒 通过 捆绑 器 程序 捆绑 , 当 用 户 运 行 游戏 时 ,病毒 也 会 同时 悄悄 地 运行 ,给 
计算 机 造成 危害 。 

由 于 捆绑 器 会 将 两 个 程序 重新 组 合 , 产 生 一 个 自己 的 特殊 格式 ,所 以 捆绑 器 程序 的 出 
现 , 使 新 变种 病毒 产生 的 速度 大 大 增加 了 。 

(5) 网 页 病毒 : 是 利用 网 页 来 进行 破坏 的 病毒 , 它 存 在 于 网 页 之 中 ,其 实质 是 利用 
Script 语言 编写 的 一 些 恶意 代码 。 当 用 户 登 录 某 些 含 有 网 页 病毒 的 网 站 时 ,网 页 病毒 便 被 
悄悄 激活 。 这 些 病 毒 一旦 激活 ,可 以 利用 系统 的 一 些 资源 进行 破坏 , 轻 则 修改 用 户 的 注册 
表 , 使 用 户 的 首页 浏览 器 标题 改变 , 重 则 可 以 关闭 系统 的 很 多 功能 ,使 用 户 无 法 正常 使 用 计 
算 机 系统 ,更 严重 者 可 以 将 用 户 的 系统 进行 格式 化 。 这 种 网 页 病毒 容易 编写 和 修改 ,使 用 户 
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防不胜防 ,最 好 的 方法 是 选用 有 网 页 监控 功能 的 杀毒 软件 。 

(6) 后 门 程序 : 由 于 程序 员 在 设计 一 些 功 能 复杂 的 程序 时 ,一 般 采 用 模块 化 的 程序 设 
计 思 想 ,将 整个 项 目 分 割 为 多 个 功能 模块 ,分 别 进行 设计 、 调 试 ,这 时 的 后 门 就 是 一 个 模块 的 
秘密 入 口 。 在 程序 开发 阶段 ,后 门 便 于 测试 、 更 改 和 增强 模块 功能 。 正 常情 况 下 ,完成 设计 
以 后 需要 去 掉 各 个 模块 的 后 门 , 不 过 有 时 由 于 朴 忽 或 者 其 他 原因 (如 将 其 留 在 程序 中 ,便于 
日 后 访问 、 测 试 或 维护 ) ,后 门 没有 去 掉 , 一 些 别有用心 的 人 会 利用 穷 举 搜索 法 发 现 并 利用 这 
些 后 门 , 然 后 进入 系统 并 发 动 攻 击 。 

(7) 黑客 程序 : 产生 的 年 代 由 来 已 入, 但 在 过 去 ,从 没有 人 将 它 看 做 是 病毒 ,理由 是 黑 
客 程序 只 是 一 个 工具 , 它 有 界面 又 不 会 传染 ,不 能 算 作 病 毒 。 

而 随 着 网 络 的 发 展 与 人 们 日 益 增长 的 安全 需求 ,必须 重新 来 看 待 黑客 程序 。 黑 客 程序 
一 般 都 有 攻击 性 , 它 会 利用 漏洞 控制 远程 计算 机 ,甚至 直接 破坏 计算 机 ; 黑客 程序 通常 会 
用 户 的 计算 机 中 植 入 一 个 木马 ,与 木马 内 外 勾结 ,对 计算 机 安全 构成 威胁 。 所 以 黑客 程序 也 
是 一 种 网 络 病 毒 。 

(8) 信息 炸弹 : 是 指使 用 一 些 特殊 工具 软件 , 短 时 间 内 向 目标 服务 器 发 送 大 量 超出 系 
统 负荷 的 信息 ,造成 目标 服务 器 超 负荷 、 网 络 堵塞 ,系统 衣 溃 的 攻击 手段 。 比 如 向 未 打 补 丁 
的 Windows 95 系统 发 送 特定 组 合 的 UDP 数据 包 ,会 导致 目标 系统 死机 或 重启 ;， 向 某 型 号 
的 路 由 器 发 送 特定 数据 包 致 使 路 由 器 死机 ; 向 某 人 的 电子 邮件 发 送 大 量 的 垃圾 邮件 将 此 邮 
箱 * 撑 爆 ” 等 。 目 前 常见 的 信息 炸弹 有 邮件 炸弹 、 逻 辑 炸弹 等 。 

(9) 拒绝 服务 : 又 叫 分 布 式 DoS 攻击 , 它 是 使 用 超出 被 攻击 目标 处 理 能 力 的 大 量 数据 
包 消 耗 系统 带宽 资源 ,最 后 导致 网 络 服务 器 瘫痪 的 一 种 攻击 手段 。 作 为 攻击 者 ,首先 需要 通 
过 常规 的 黑客 手段 侵入 并 控制 某 个 网 站 ,然后 在 服务 器 上 安装 并 启动 一 个 可 由 攻击 者 发 出 
特殊 指令 的 程序 来 控制 进程 ,攻击 者 把 攻击 对 象 的 IP 地 址 作为 指令 下 达 给 进程 后 ,这 些 进 
程 就 开始 对 目标 主机 发 起 攻击 。 这 种 方式 可 以 集中 大 量 的 网 络 服务 器 带宽 ,对 某 个 特定 目 
标 实施 攻击 ,因而 威力 巨大 .顷刻 之 间 就 可 以 使 被 攻击 目标 带宽 资源 耗 尽 ,导致 服务 器 瘫痪 。 

4. 病毒 的 发 展 趋势 

计算 机 病毒 技术 的 发 展 , 也 就 是 计算 机 最 新 技术 的 发 展 。 当 一 种 最 新 的 技术 或 者 计算 
机 系统 出 现时 ,病毒 总 能 找到 这 些 技术 的 薄弱 环节 进行 利用 和 攻击 。 同 时 ,病毒 制造 者 们 不 
断 吸取 已 经 发 现 的 病毒 技术 ,试图 将 这 些 技术 融合 在 一 起 ,制造 更 具有 破坏 力 的 新 病毒 。 

与 传统 的 计算 机 病毒 不 同 的 是 ,许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 编程 技术 实 
现 , 易 于 修改 以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软 件 的 搜索 。 

有 些 新 病毒 利用 Java, ActiveX. VBScript 等 技术 ,可 以 潜伏 在 HTML 页 面 里 ,在 上 网 
浏览 时 触发 。VBS_KAKWORM. A 病毒 虽然 早 在 1999 年 10 月 就 被 发 现 , 但 它 的 感染 率 一 
直 居 高 不 下 ,就 是 由 于 它 利 用 ActiveX 控件 中 存在 的 缺陷 传播 , 装 有 IE 5.0 或 Office 2000 
的 计算 机 都 可 能 被 感染 。 这 个 病毒 的 出 现 使 原来 不 打开 带 毒 邮件 附件 而 直接 删除 的 防 邮 件 
病毒 方法 完全 失效 。 更 为 令 人 担心 的 是 ,一 旦 这 种 病毒 被 赋予 其 他 计算 机 病毒 的 特性 ,造成 
的 危害 很 有 可 能 超过 现 有 的 任何 计算 机 病毒 。 

计算 机 病毒 的 发 展 速度 越 来 越 快 ,由 只 感染 可 执行 文件 的 病毒 演化 到 同时 感染 多 种 微 
软 办 公 软 件 的 病毒 ; 由 只 对 软件 产生 破坏 的 病毒 演化 到 能 攻击 硬件 正常 工作 的 病毒 ; 由 单 
一 攻击 功能 的 病毒 演化 到 集 蠕 虫 .后 门 和 黑客 三 种 攻击 功能 于 一 身 的 “多 料 ” 病 毒 ; 由 单机 
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病毒 到 能 利用 FTP 在 网 上 快速 传播 的 蠕虫 病毒 ; 由 单 态 性 病毒 到 多 态 加 密 抗 检测 病毒 ,再 
到 病毒 自动 生产 器 .手机 病毒 等 。 变 形 病毒 .病毒 生产 机 、 病 毒 与 黑客 技术 合 二 为 一 等 ,将 是 
今后 计算 机 病毒 发 展 的 主要 方向 。 
1) 变形 病毒 
1992 年 以 来 出 现 的 能 在 传播 过 程 中 自动 修改 病毒 代码 ,改变 自身 加 解密 方法 的 病毒 ， 
可 以 根据 不 同 机 器 配置 .所 攻击 的 文件 情况 ,传染 次 数 等 修改 病毒 程序 体 代码 。 每 传染 一 个 
对 象 就 变化 一 种 样子 ,变形 能 力 可 达 上 千 亿 甚至 无 限 ,给 病毒 检测 和 清除 带 来 一 定 困难 。 如 
台湾 2 号 变形 王 ,其 病毒 代码 可 变 无 限 次 ,并 且 变 形 复杂 ,几乎 达到 了 不 可 解除 的 状态 ; 又 
如 Mutation Engine( 变 形 金刚 或 称 变形 病毒 生产 机 ) , 遇 到 普通 病毒 后 能 将 其 改造 成 为 变形 
病毒 ,给 清除 计算 机 病毒 带 来 极 大 困难 。 
多 态 变 形 病毒 在 代码 组 成 上 具有 较 强 的 变化 能 力 ,在 功能 上 能 接收 外 来 信息 ,能 繁衍 新 
的 不 同 种 类 病毒 ,是 能 自我 保护 、 自 我 修复 的 智能 化 病毒 ,多 态 变 形 病 毒 将 会 是 今后 病毒 发 
展 的 主要 方向 。 
有 的 专家 认为 ,要 检测 清除 病毒 变种 比 病毒 原型 还 要 困难 。 因 为 : 
。 病毒 变种 往往 是 针对 原型 病毒 的 弱点 并 考虑 了 已 出 现 的 针对 该 病毒 的 反 病毒 技术 
的 特点 做 了 种 种 变动 。 病 毒 变种 的 攻击 性 与 反 病毒 技术 的 对 抗 性 有 所 增强 。 
。 病毒 变种 往往 会 改变 原型 病毒 的 长 度 ,感染 标记 等 敏感 信息 。 这 可 能 使 许多 反 病 毒 
工具 失去 查 毒 . 杀 毒 能 力 。 
。 编写 病毒 变种 很 容易 ,编写 反 病 毒 工具 困难 。 反 病毒 工具 的 研制 总 是 滞后 于 病毒 的 
演化 。 大 量 的 功能 变化 多 端的 病毒 变种 的 出 现 , 使 人 们 防不胜防 。 从 病毒 某 个 变种 
出 现 ,到 针对 该 病毒 的 反 病毒 工具 的 出 现 之 间 存 在 一 个 空白 时 间 ,其 间 对 该 种 病毒 
既 不 能 检测 也 不 能 清除 。 
病毒 变种 在 性 能 上 的 变化 可 大 可 小 ,有 的 维持 了 原版 病毒 的 原貌 , 仅 改 变 了 感染 标记 ; 
也 可 能 病毒 变种 在 功能 .设计 思想 上 都 有 所 变化 。 病 毒 编写 者 注意 到 许多 反 病 毒 工具 过 分 
依赖 于 感染 标记 ,他 们 只 须 修改 病毒 的 感染 标记 ,就 可 以 轻而易举 地 形成 该 病毒 的 变种 。 现 
今世 界 上 发 现 的 病毒 几乎 都 有 变种 。 
2) 病毒 生产 机 软件 
1995 年 ,有 相当 一 批 计 算 机 病毒 好 像 出 于 同一 个 家 族 , 其 病毒 代码 长 度 都 不 相同 ,自我 
加 密 、 解 密 的 密 钥 也 不 相同 ,原文 件 头 重要 参数 的 保存 地 址 不 同 ,病毒 的 发 作 条 件 和 现象 不 
同 ,但 主体 构造 和 原理 基本 相同 ,它们 是 由 病毒 生产 机 软件 生产 的 。 
对 于 由 病毒 生产 机 软件 生产 的 计算 机 病毒 ,目前 没有 广 谱 查 毒 软件 ,只 能 是 知道 一 种 查 
杀 一 种 ,难于 应 付 由 此 产生 的 大 量 计算 机 病毒 。 
病毒 自动 生成 工具 在 网 络 上 可 以 很 容易 获得 ,使 得 现在 新 病毒 出 现 的 频率 超出 以 往 任 
何 时 候 。 以 往 计算 机 病毒 都 是 编程 高 手 制 作 的 ,编写 病毒 显示 自己 的 技术 。 出 现 了 病毒 自 
动 生成 工具 以 后 ,使 用 该 工具 ,即使 不 是 程序 员 , 也 可 以 按 自己 的 愿望 生成 自己 所 想 要 的 
病毒 。 
3) 病毒 与 黑客 技术 合 二 为 一 的 病毒 
黑客 技术 和 病毒 技术 的 混合 , 即 黑客 借助 病毒 的 广泛 而 迅速 的 传播 特性 ,把 黑客 攻击 手 
段 从 以 往 一 对 一 的 攻击 变 成 了 一 对 多 的 攻击 模式 ; 同时 ,病毒 技术 亦 借助 黑客 技术 使 得 病 
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毒 的 激活 变 得 似乎 不 复 存在 ,攻击 强度 又 增 。 

2001 年 ,红色 代码 病毒 肆虐 全 球 ,意味 着 病毒 与 黑客 合 二 为 一 的 新 型 计算 机 病毒 的 诞 
生 , 给 清除 病毒 及 其 隐患 带 来 了 困难 。 

病毒 技术 与 木马 技术 相 结 合 , 会 出 现 带 有 明显 病毒 特征 的 木马 或 者 带 有 木马 特征 的 病 
毒 。 由 于 木马 的 危害 性 很 大 ,黑客 们 可 通过 木马 远程 控制 计算 机 并 获取 计算 机 资源 。 现 在 
已 经 出 现 类 似 于 此 的 病毒 Nimuda( 尼 姆 达 ) 病 毒 , 它 虽然 没有 木马 最 直接 的 特征 ,但 是 
会 给 感染 该 病毒 的 计算 机 留 下 后 门 。 随 着 计算 机 病毒 知识 的 广泛 传播 ,制造 木马 的 黑客 们 
会 加 紧 对 计算 机 病毒 技术 的 研究 ,来 加 大 木马 的 传播 速度 和 破坏 效果 。 

4)“ 反 病毒 程序 ”病毒 

反 病 毒 程序 把 每 个 未 感染 文件 的 关键 特征 信息 存放 到 数据 库 中 ,然后 把 当前 文件 与 
存储 在 数据 库 中 原来 文件 进行 核对 。“ 反 病毒 程序 ”病毒 如 Retro 病毒 会 删除 这 种 病毒 定 
义 文件 ,从 而 破坏 了 反 病 毒 程序 中 的 扫描 程序 检测 病毒 的 能 力 , 使 得 反 病 毒 程序 无 法 检 
测 病毒 。 

近 几 年 许多 新 的 病毒 ,大 都 具备 了 一 定 的 对 抗 反 病 毒 技 术 的 能 力 。 诸 如 多 形 性 病毒 、 轻 
微 破坏 病毒 和 对 抗 覆盖 法 技术 的 出 现 , 使 得 现 有 的 反 病 毒 技术 受到 很 大 程度 上 的 对 抗 。 多 
形 性 病毒 是 采用 特殊 加 密 技 术 编 写 的 病毒 ,这 种 病毒 在 每 感染 一 个 对 象 时 采用 随机 方法 对 
病毒 主体 进行 加 密 。 在 多 形 性 病毒 的 不 同样 本 中 ,其 至 不 存在 连续 两 个 字 节 是 相同 的 。 这 
种 病毒 主要 是 针对 查 毒 软件 而 设计 的 ,所 以 使 得 查 毒 软件 的 编写 更 困难 ,并 且 还 会 带 来 许多 
误 报 。 在 这 些 病毒 面前 ,单纯 的 特征 码 技术 已 完全 失去 作用 。 

5) 网 络 蠕虫 

随 着 网 络 应 用 的 日 益 广 泛 ,计算 机 病毒 减少 了 对 传统 传播 介质 的 关注 ,网 络 蠕虫 成 为 病 
毒 设 计 者 的 首选 。 

蠕虫 病毒 区 别 于 其 他 各 类 病毒 的 最 重要 特征 是 它 可 以 以 一 个 独立 的 个 体 而 存在 于 一 台 
计算 机 上 ,而 其 他 病毒 都 是 寄生 类 病毒 。 蠕 虫 病 毒 自 身 就 已 经 可 以 完成 复制 .传播 .感染 、 破 
坏 等 所 有 功能 。 

除了 网 络 具 有 传播 广 .速度 快 的 优点 以 外 ,蠕虫 的 一 些 特征 也 促使 病毒 制造 者 特别 青睐 

蠕虫 病毒 主要 利用 系统 漏洞 进行 传播 ,在 控制 系统 的 同时 ,为 系统 打开 后 门 。 如 “ 尼 姆 
达 ” 病 毒 就 是 利用 IE 浏览 器 的 漏洞 ,使 得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 未 进行 手工 打开 附 
件 的 情况 下 病毒 就 能 激活 ,而 此 前 有 很 多 防 病 毒 专家 一 直 认 为 ,对 于 带 有 病毒 附件 的 邮件 ， 
只 要 不 打开 附件 ,病毒 就 不 会 有 和 危害。 因此 ,病毒 制造 者 特别 是 一 些 “ 黑 客 "更 趋向 于 使 用 这 
种 病毒 。 

蠕虫 病毒 编写 简单 ,不 需要 经 过 复杂 的 学 习 , 如 Happy Time( 欢 乐 时 光 ) 病 毒 使 用 简单 
的 脚本 语言 编写 。 只 要 仔细 研究 一 下 这 些 蠕虫 病毒 的 源 代 码 , 就 可 以 很 容易 地 编写 一 个 相 
似 的 病毒 出 来 。 同 时 ,由 于 其 编码 的 简单 性 ,甚至 可 以 编写 出 专门 的 病毒 生产 机 ,批量 生成 
变种 病毒 。 尽 管 这 些 病 毒 变种 在 技术 上 没有 太 多 创新 ,但 是 单纯 使 用 特征 码 扫描 的 防 病毒 
软件 并 不 能 识别 这 些 极其 相似 的 病毒 。 

6) 病毒 向 非 计 算 机 设备 领域 扩散 

随 着 WAP 和 信息 家 电 的 普及 ,手机 和 信息 家 电 将 逐步 复杂 和 智能 化 ,手机 、 信 息 家 电 
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和 Internet 的 结合 也 会 日 益 紧 密 , 病 毒 制造 者 也 会 将 兴趣 和 攻击 目标 逐步 向 手机 和 信息 家 
电 转 移 。 从 理论 上 说 ,信息 产品 越 复 杂 、 和 网 络 联系 越 紧 密 , 这 些 信息 产品 软件 部 分 开放 的 
程度 也 会 越 高 ,利用 软件 缺陷 制造 和 传播 病毒 的 几率 也 就 越 大 。 
手机 病毒 是 以 手机 为 感染 对 象 ,以 手机 网 络 和 计算 机 网 络 为 平台 ,通过 病毒 短信 等 形 
式 , 对 手机 进行 攻击 ,从 而 造成 手机 异常 的 一 种 新 型 病毒 。 

手机 病毒 一 般 会 从 两 个 方面 进行 攻击 ,一 种 是 攻击 移动 网 络 ,通过 对 网 络 服务 器 和 网 关 
的 破坏 与 控制 ,使 用 户 无 法 正常 收发 短信 ,享受 正常 的 移动 数据 服务 ,并 且 还 会 向 手机 用 户 
发 送 大 量 的 垃圾 信息 ,使 用 户 不 胜 其 烦 ; 另 一 种 攻击 方式 是 直接 对 手机 进行 攻击 ,利用 手机 
操作 系统 的 漏洞 ,破坏 手机 操作 系统 ,删除 手机 中 存储 的 数据 ,使 手机 不 能 正常 工作 甚至 骨 
汝 ,并 且 也 有 可 能 损坏 手机 芯片 ,使 手机 硬件 受 损 。 

手机 病毒 初次 登场 是 在 2000 年 6 月 ,世界 上 第 一 个 手机 病毒 VBS. Timofonica 在 西 班 
牙 出 现 。 这 个 新 病毒 通过 运营 商 Telefonica 的 移动 系统 向 该 系统 内 的 任意 用 户 发 送 驾 人 的 
短 消息 ,这 种 攻击 模式 类 似 于 邮件 炸弹 , 它 通过 短信 服务 运营 商 提供 的 路 由 向 任何 用 户 发 送 
大 量 垃圾 信息 或 者 广告 ,在 大 众 眼 里 ,这 种 短信 炸弹 充其量 也 只 能 算是 恶作剧 而 已 。 

随 着 时 代 的 发 展 ,新 的 病毒 .蠕虫 的 威胁 会 不 断 出 现 ,这 就 有 可 能 影响 到 众多 手持 设备 ， 
日 益 普 及 的 移动 数据 业务 成 为 这 些 病毒 滋生 蔓延 的 温床 ,一 些 病 毒 可 以 利用 手机 芯片 程序 
的 缺陷 ,对 手机 操作 系统 进行 攻击 。 

KBI 4-3】 删除 脚本 解释 器 防止 脚本 蠕虫 。 

(1) 打开 “我 的 电脑 ”执行 “工具 ”|“ 文 件 夹 选项 ”命令 ,选择 “文件 类 型 "选项 卡 , 出 现 如 
图 4-8 所 示 的 对 话 框 。 


| 常规 | 查看 | 文件 类 型 [ 脱 机 文件 | 
已 注册 的 文件 类 型 D: 


扩展 名 。 文件 类 型 
Visual Basic Group Project 
Visual Basic Control License File 
Visual Basic Project 
Ee a ‘tration File 
| RET Vere Basic Prec Workspace 
Lam viena R. 


~ 


aq | [ 删除 中) 


“YBs” 扩 展 名 的 详细 信息 


打开 方式 : g. Microso: ft (r) Windows 


ae rere Hy A Script Hie ane 
置 ， 请 单 击 


图 4-8 “文件 夹 选项 "对 话 框 


(2) 选择 VBS 文件 类 型 , 单 击 “ 高 级 ”按钮 ,出 现 如 图 4-9 所 示 的 对 话 框 。 
(3) 在 “操作 ” 框 中 单 击 “ 打 开 ” 命 令 , 再 单 击 “ 编 辑 ” 按 钮 ,出 现 如 图 4-10 所 示 的 对 话 框 。 
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编辑 这 种 类 型 的 振作: VBScript Script... PR) 
REA: 
打开 Go) 


用 于 执行 操作 的 应 用 程序 l): 
C: \WINDOWS\System32\ ET TN “%1” «| 


s [script Script File 


REW: JEA DDE QW) 
eet me 消息 @) 
HDD SEE. 

在 命令 提示 符 中 打开 W a 


应 用 程序 ©): 


BARUA ©) Trist 


下 载 后 确认 打开 四 ) A 
O mares w 
在 同一 窗口 中 浏览 全 HA0: 
取消 Systea 


图 4-9 “编辑 文件 类 型 "对 话 框 图 4-10 VBS 类 型 文件 的 编辑 对 话 框 


(4) 修改 脚本 文件 关联 ,将 默认 的 关联 程序 WScript. exe 修改 成 其 他 文件 ,如 记事 本 
Notepad. exe, 单 击 “ 确 定 ” 按 钮 。 

此 外 ,从 系统 中 删除 WScript. exe 文件 或 将 其 改名 ,也 可 以 使 任何 类 型 的 脚本 文件 无 法 
执行 ,这 样 , 脚 本 病毒 也 就 无 法 运行 了 。 


4.3 Æ g 


木马 是 特洛伊 木马 的 简称 ,是 一 种 在 远程 计算 机 之 间 建 立 起 连接 ,使 远程 计算 机 能 通过 
网 络 控制 本 地 计算 机 上 的 程序 。 它 冒名 顶替 ,以 人 们 所 知晓 的 合法 而 正常 的 程序 (如 计算 机 
游戏 压缩 工具 乃至 防治 计算 机 病毒 软件 等 ) 面 目 出 现 ,来 达到 欺骗 欲 获 得 该 合法 程序 的 用 
户 将 之 在 计算 机 上 运行 ,产生 用 户 所 料 不 及 的 破坏 后 果 之 目的 。 通 俗 地 讲 , 木 马 就 是 一 种 
“ 挂 羊 头 , 卖 狗肉 ”的 实施 破坏 作用 的 计算 机 程序 。 

从 本 质 上 讲 , 木 马 程序 属于 远程 管理 工具 的 范畴 ,如 PCAnyWhere 等 ,其 目的 在 于 通过 
网 络 进行 远程 管理 控制 。 木 马 和 远程 控制 软件 的 区 别 在 于 木马 具有 隐蔽 性 ,远程 控制 软件 
的 服务 器 端 在 目标 计算 机 上 运行 时 ,目标 计算 机 上 会 出 现 很 醒目 的 标志 ,而 木马 类 软件 的 服 
务 器 端 在 运行 时 则 使 用 多 种 手段 来 隐藏 自己 。 


4.3.1 木马 原理 


一 般 情 况 下 ,木马 程序 由 服务 器 (server) 端 程序 和 客户 (client) 端 程序 组 成 。 其 中 服务 
器 端 程序 安装 在 被 控制 对 象 的 计算 机 上 ,Client 端 程序 是 控制 者 所 使 用 的 ,Server 端 程序 和 
客户 端 程序 建立 起 连接 就 可 以 实现 对 远程 计算 机 的 控制 了 。 在 通过 Internet 将 服务 器 端 程 
序 和 客户 端 程序 连接 后 , 若 用 户 的 计算 机 运行 了 服务 器 端 程序 , 则 控制 者 就 可 使 用 客户 端 程 
序 来 控制 用 户 的 计算 机 ,实现 对 远程 计算 机 的 控制 。 

1. 木马 的 发 展 过 程 

从 木马 的 发 展 历史 来 看 ,基本 上 可 以 分 为 两 个 阶段 。 在 网 络 还 处 于 以 UNIX 平台 为 主 
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的 时 期 ,森马 就 产生 了 ,当时 的 木马 程序 功能 相对 简单 ,往往 是 将 一 段 程序 嵌入 到 系统 文件 
中 ,用 跳 转 指令 来 执行 一 些 木 马 的 功能 。 这 个 时 期 木马 的 设计 者 和 使 用 者 大 都 是 具备 相当 
的 网 络 和 编程 知识 的 技术 人 员 。 随 着 Windows 平台 的 日 益 普 及 ,一 些 基 于 图 形 操作 的 木马 
程序 出 现 了 ,用 户 界面 的 改善 ,使 用 者 不 用 懂 太 多 的 专业 知识 就 可 以 熟练 地 操作 木马 ,木马 
入 侵 事 件 也 频繁 出 现 ,而 且 由 于 这 个 时 期 木马 的 功能 已 日 趋 完善 ,因此 破坏 性 也 更 大 了 。 

木马 第 一 次 和 病毒 联合 是 1988 年 11 月 的 “ 莫 里 斯 蠕虫 "事件 , 莫 里 斯 蠕虫 是 第 一 个 电 
虫 程序 ,并 且 附 带 了 一 个 盗 窍 别人 密码 的 木马 程序 在 里 面 。20 世纪 90 年 代 是 木马 飞速 发 
展 的 时 代 , 木 马 的 功能 开始 逐渐 强大 ,已 经 不 满足 于 仅仅 盗 取 用 户 的 密码 了 ,开始 走向 综合 
化 的 道路 。21 世纪 以 来 ,各 种 脚本 病毒 .蠕虫 病毒 .黑客 程序 等 和 木马 的 结合 越 来 越 紧密 ， 
病毒 和 木马 技术 的 发 展 速度 空前 高 涨 。2001 年 8 月 爆发 了 “红色 代码 ”病毒 ,除了 其 巨大 
的 危害 以 外 ,病毒 释放 出 的 木马 可 以 使 中 毒 者 的 计算 机 完全 暴露 ,通过 网 络 被 任何 人 控制 。 
2002 年 爆发 的 Bugbear 病毒 ,不 用 打开 附件 就 可 以 中 毒 ,并 且 释放 一 个 木马 来 记录 受害 者 
的 键盘 输入 。2003 年 的 “ 巨 无 霸 " 病 毒 可 以 从 自 带 的 列表 中 下 载 木马 执行 ,让 受害 者 的 计算 
机 毫 无 速 拦 地 暴露 在 网 络 上 。 木 马 发 展 到 今天 ,已 经 无 所 不 能 ,一 旦 被 木马 控制 ,计算 机 将 
毫 无 秘密 可 言 。 

和 病毒 一 样 ,木马 的 技术 越 来 越 成 熟 ,其 功能 也 越 来 越 完善 ,危害 也 越 来 越 大 。 但 另 一 
方面 ,木马 的 出 现 也 为 网 络 的 发 展 做 出 了 一 定 的 贡献 ,特别 是 造就 了 很 多 非常 优秀 的 远程 管 
理 软件 。 

2. 木马 的 特点 

木马 具有 隐蔽 性 和 非 授权 性 的 特点 。 所 谓 隐蔽 性 是 指 木马 的 设计 者 为 了 防止 木马 被 发 
现 ,会 采用 多 种 手段 隐藏 木马 ,用 户 即使 发 现 感染 了 木马 ,由 于 不 能 确定 其 具体 位 置 , 往 往 只 
能 望 * 马 "兴叹 。 

所 谓 非 授 权 性 是 指 一 旦 控制 端 与 服务 器 端 连接 后 ,控制 端 将 享有 服务 器 端的 大 部 分 操 
作 权限 ,包括 修改 文件 .修改 注册 表 、 控 制 鼠标 、 键 盘 等 ,而 这 些 权力 并 不 是 服务 器 端 赋予 的 ， 
而 是 通过 木马 程序 窃取 的 。 

木马 程序 本 身 很 小 ,执行 后 将 自动 加 入 系统 启动 区 执行 ,具有 自我 加 载 的 特点 。 执 行 过 
程 中 木马 程序 并 不 会 在 系统 中 显示 ,使 用 者 很 难 察觉 有 木马 程序 常 驻 在 系统 中 。 

3. 木马 的 危害 

木马 的 主要 危害 是 对 系统 安全 性 的 损害 ,木马 常 被 用 来 偷窃 口令 ,包括 拨号 上 网 的 口 
令 、 信 箱 口令 .主页 口令 甚至 信用 卡 口令 等 。 还 可 以 通过 木马 程序 传播 病毒 。 它 还 能 使 远程 
用 户 获得 本 地 机 器 的 最 高 操作 权限 ,通过 网 络 对 本 地 计算 机 进行 任意 操作 ,例如 添加 删除 程 
序 锁定 注册 表 获取 用 户 保密 信息 、 远 程 关 机 等 。 木 马 使 用 户 的 计算 机 完全 暴露 在 网 络 环 
境 之 中 ,成 为 别人 操纵 的 对 象 。 

4. 木马 的 种 类 

自 木马 程序 诞生 以 来 ,已 经 出 现 了 许多 类 型 ,下 面 是 一 些 常见 的 分 类 : 

1) 远程 访问 型 木马 

远程 访问 型 木马 是 数量 最 多 .危害 最 大 ,同时 也 是 知名 度 最 高 的 一 种 木马 。 这 种 木马 可 
以 访问 远程 硬盘 .安装 服务 器 端 程序 。 通 过 运行 服务 器 端 程序 ,就 可 以 获得 远程 机 器 的 IP 
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地 址 ,进而 控制 异地 的 计算 机 。 这 种 木马 可 以 使 远程 控制 者 在 本 地 机 器 上 做 任何 事情 ,使 其 
在 被 感染 的 计算 机 上 为 所 和 欲 为 ,可 以 任意 访问 文件 ,得 到 机 主 的 私人 信息 。 这 种 类 型 的 木马 
有 著名 的 BO(Back Office) 、 国 产 的 冰河 等 。 

2) 密码 发 送 型 木马 

密码 发 送 型 木马 的 目的 是 找到 所 有 的 隐藏 密码 ,并 且 在 受害 者 不 知道 的 情况 下 把 它们 
发 送 到 指定 的 信箱 。 木 马 一 旦 被 执行 ,就 会 自动 搜索 内 存 .cache 临时 文件 夹 以 及 各 种 敏感 
密码 文件 ,搜索 到 密码 后 ,木马 就 会 将 密码 发 送 到 指定 的 邮箱 。 这 类 木马 大 多 数 使 用 25 号 
端口 发 送 E-mail。 

3) 键盘 记录 型 木马 

键盘 记录 型 木马 是 一 种 非常 简单 的 木马 , 它 只 做 一 种 事情 ,就 是 记录 受害 者 的 键盘 项 
击 , 并 且 在 LOG 文件 里 做 完整 的 记录 。 这 种 特洛伊 木马 随 着 Windows 的 启动 而 启动 ,记录 
受害 者 在 线 和 离线 状态 下 斋 击 键盘 时 的 按键 情况 。 下 木马 的 人 可 以 从 中 分 析出 有 用 信息 。 

4) 毁坏 型 木马 

毁坏 型 木马 的 唯一 功能 是 毁坏 并 且 删 除 文件 。 该 木马 可 以 自动 删除 计算 机 上 的 所 有 
DLL 或 INI 或 EXE 文 件 。 这 是 非常 危险 的 特洛伊 木马 ,一旦 感染 该 木马 而 没有 及 时 删除 ， 
计算 机 中 的 信息 会 在 项 刻 间 “灰飞烟灭 ”。 

5) DoS 攻击 木马 

给 受害 者 中 上 DoS 攻击 木马 ,日 后 这 台 计 算 机 就 成 为 DoS 攻击 的 得 力 助 手 。 这 种 木马 
的 危害 体现 在 攻击 者 可 以 利用 它 来 攻击 一 台 又 一 台 计 算 机 ,给 网 络 造成 很 大 的 伤害 和 损失 。 

6) FTP 型 木马 

FTP 型 木马 能 够 打开 计算 机 的 21 端口 (FTP 所 使 用 的 默认 端口 ) ,使 网 络 中 的 其 他 用 
户 可 以 用 一 个 FTP 客户 端 程序 而 不 用 密码 连接 到 计算 机 ,并 且 可 以 进行 最 高 权限 的 上 传 
下 载 。 

7) 反弹 端口 木马 

普通 木马 工作 时 都 是 由 客户 端 向 服务 器 端 发 送 请 求 的 ,而 一 旦 服务 器 端 装 有 防火 墙 的 
话 ,防火 墙 就 会 对 一 切 外 来 数据 进行 检测 ,除了 定义 好 的 合格 数据 包 外 ,其 他 一 切 数据 包 都 
会 被 过 滤 掉 ,这样 木 马 就 不 能 实现 连接 ,破坏 就 无 从 谈 起 。 但 防火 墙 在 默认 情况 下 认为 所 有 
向 外 的 数据 包 都 是 正常 的 ,这 就 为 反弹 端口 木马 打下 了 基础 。 反 弹 端 口 木马 是 由 服务 器 端 
向 外 发 送 连接 请 求 , 这 样 的 请 求 数据 包 不 会 给 防火 墙 拦 截 , 当 客 户 端的 数据 包 经 过 防火 墙 
时 ,防火 墙 也 会 以 为 那 是 正常 数据 包 的 返回 信息 。 大 名 易 易 的 “网 络 神偷 ”就 是 反弹 端口 木 
马 的 典型 代表 。 

5. 木马 的 伪装 方式 

木马 通常 会 进行 伪装 以 欺骗 他 人 执行 木马 的 服务 器 端 程序 ,下 面 是 常见 的 伪装 方式 : 

1) 修改 图 标 

对 木马 程序 的 图 标 进 行 修改 ,从 而 伪装 成 其 他 类 型 的 文件 ,以 达到 欺骗 用 户 的 目的 。 现 
在 有 的 木马 已 经 可 以 将 木马 服务 器 端 程序 的 图 标 改 成 HTML TXT, ZIP 等 各 种 文件 的 图 
标 , 具 有 相当 大 的 迷惑 性 。 

2) 出 错 显 示 

如 果 打 开 一 个 文件 后 没有 任何 反应 ,这 很 可 能 就 是 个 木马 程序 ,木马 的 设计 者 也 意识 到 
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了 这 个 缺陷 ,所 以 已 经 有 木马 提供 了 一 个 叫做 出 错 显示 的 功能 。 当 服务 器 端 用 户 打 开 木 马 
程序 时 ,会 弹出 一 个 错误 提示 框 (当然 是 假 的 ) ,错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 
“文件 已 破坏 ,无 法 打开 !1” 之 类 的 信息 , 当 服 务 器 端 用 户 信以为真 时 ,木马 却 悄悄 侵入 了 系统 。 

3) 定制 端口 

很 多 老式 的 木马 端口 都 是 固定 的 .这 给 判断 是 否 感染 了 木马 带 来 了 方便 ,只 要 查 一 下 特 
定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 定制 端口 的 功能 ,控制 
端 用 户 可 以 在 1024 一 65 535 之 间 任 选 一 个 端口 作为 木马 端口 ,这样 就 给 判断 所 感染 的 木马 
类 型 带 来 了 麻烦 。 

4) 自我 销毁 

当 服 务 器 端 用 户 打 开 含 有 木马 的 文件 后 ,木马 会 将 自己 复制 到 Windows 的 系统 文件 夹 
中 。 一 般 来 说 源 木马 文件 和 系统 文件 夹 中 的 木马 文件 的 大 小 是 一 样 的 (捆绑 文件 的 木马 除 
外 ) ,那么 中 了 木马 的 系统 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 源 木马 文件 ,然后 根 
据 源 木马 的 大 小 去 系统 文件 夹 中 找到 相同 大 小 的 文件 ,判断 一 下 哪个 是 木马 就 行 了 。 木 马 
的 自我 销毁 功能 弥补 了 木马 的 这 一 缺陷 。 当 安装 完 木 马 后 , 源 木马 文件 将 自动 销毁 ,这 样 服 
务 器 端 用 户 就 很 难 找到 木马 的 来 源 , 在 没有 查 杀 木马 的 工具 帮助 下 ,就 很 难 删 除 木马 了 。 

5) 木马 更 名 

安装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,那么 只 要 根据 一 些 查 杀 木 马 的 文 
章 , 在 系统 文件 夹 中 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 所 以 现在 有 很 多 木马 都 允 
许 控制 端 用 户 自由 定制 安装 后 的 木马 文件 名 ,这 样 就 很 难 判断 所 感染 的 木马 类 型 了 。 

6) 捆绑 文件 

将 木马 捆绑 到 一 个 安装 程序 上 , 当 安装 程序 运行 时 ,木马 在 用 户 毫 无 察觉 的 情况 下 , 偷 
偷 地 进入 系统 。 也 可 以 将 木马 和 一 张 图 片 捆绑 , 当 用 户 打 开 * 图 片 ” 时 ,木马 就 在 后 台 不 知 不 
觉 地 运行 了 。 

【 例 4-4] 使 用 WinRAR 自 解压 功能 伪装 木马 。 

(1) 将 冰河 木马 服务 器 端 程序 G_Server. exe 和 图 片 文件 test. jpg 放 在 目录 test 中 , 选 
中 这 两 个 文件 , 右 击 ,选择 “添加 到 test. rar”, 

(2) 打开 test. rar 文件 ,出 现 如 图 4-11 所 示 的 窗口 。 


Ù test. rar - WinRAR (评估 版 本 ) 
RHE) AFO KERO 选项 GD 帮助 中 


ET 


iE iE test. rar - RAR 压缩 文件 ， 解 包 大 小 为 962, 436 字 节 


大 小 压缩 后 大 小 类 型 修改 时 间 
RAK 
286, 240 258,871 ”应 用 程序 2000-4-21 1... A3099CE8 
716,198 713,112 ACDSee 6.0 JPEG... 2005-8-7 11:24 EF5507B6 


保护 


共有 982, 436 FEO 个 文件 ) 


4-11 将 木马 服务 器 端 程序 与 图 片 文 件 一 起 压缩 
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G) 单 击 “ 自 解压 ”按钮 ,出 现 如 图 4-12 所 示 的 界面 。 
(4) 单 击 “ 高 级 自 解压 选项 ”按钮 ,出 现 如 图 4-13 所 示 的 对 话 框 。 


© EMM test. rar 
信息 “| 选项 “| 注释 “| 自 解 庄 格式 
选择 命令 


sae Se OS _ 
模块 描述 
Default. SFX Windows 图 形 界面 RAR 自 解压 模块 


Dos, SFX DOS RAR 
WinCon. SFX Windows 控制 台 RAR 自 解压 模块 


eS BAPIEIN V) 


常规 | 高 级 
解压 路 径 


| 模式 | 文本 和 图 标 | 许可 


OE “Program Files” PAREC) 
〇 在 当前 文件 夹 中 创建 © 


时 存 并 恢复 路 


安装 程序 
MERE ©) 


解压 前 运行 O 


保存 当前 设置 为 默认 值 C) 


a 


图 4-12 自 解压 界面 


取消 ] 


Ca) 


4-13 “高 级 自 解压 选项 "对话 框 


(5) 在 “解压 路 径 ” 中 填 和 人 解压 后 的 路 径 ,在 “解压 后 运行 "文本 框 中 输入 木马 的 服务 器 
端 程序 G_Server. exe, 在 “解压 前 运行 ”文本 框 中 输入 图 片 文件 test. jpg. 
(6) 单 击 “ 模 式 ” 选 项 卡 , 选 择 “ 全 部 隐藏 "和 “覆盖 所 有 文件 ”, 如 图 4-14 所 示 , 这 两 个 选 


项 是 为 了 不 让 WinRAR 解压 时 弹出 窗口 。 


(7) 连续 单 击 “ 确 定 ” 按 钮 ,关闭 WinRAR 窗口 。 这 样 就 完成 了 捆绑 ,在 同一 目录 下 生 


成 了 test. exe 文件 。 

(8) 运行 test. exe 文件 ,系统 调用 默认 关联 
的 图 片 查看 器 打开 test. jpg 文件 ,并 悄悄 运行 
G_Server. exe 文件 。 

【 例 4-5] 使 用 EXEbinder 伪装 木马 。 

(1) 运行 EXEbinder 软件 ,出 现 如 图 4-15 
所 示 的 界面 。 

(2) 单 击 “ 执 行文 件 1 按钮 ,选择 木马 的 服 
务 器 端 程序 ,如 冰河 G_Server. exe. 

(3) 单 击 “ 执 行文 件 2 按钮 ,选择 一 个 常见 
的 文件 ,如 记事 本 notepad. exe 文件 。 

(4) 单 击 “目标 文件 ?按钮 ,选择 运行 
notepad. exe 文件 后 木马 种 植 的 路 径 和 文件 名 ， 
如 图 4-16 所 示 。 

(5) 单 击 * 捆 绑 ” 按 钮 ,完成 木马 的 伪装 工 
作 , 如 图 4-17 所 示 。 


an | 高 级 “| 模式 | 文本 和 图 标 | 许可 | 模块 | 
临时 模式 

MEDEX D 

可 选 的 询问 @) 


| 
] 


询问 标题 I) 


安静 模式 
OSEIRA 

O 隐 疗 启动 对 话 框 ©) 
© Sih Ww 


TESIR 
OmamaH @) 
ORSPAXFT) 
OME Frat © 


取消 


C= 


图 4-14 加 强 隐藏 效果 
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六 ,EXE 捆 绑 机 EP 版 oč ` EXE 捆绑 机 XP 版 


号 网 时 安全 "软件 Vch4\G_Server. exe 


TSP AR ch4 NOTEPAD. EXE 


WP SPBRS ARF ché\test. exe 


Een o Er 


图 4-15 EXEbinder 运行 界面 图 4-16 木马 捆绑 的 设置 


(6) 到 别 的 机 器 中 运行 test. exe 文件 ,出 现 记事 本 ,但 同时 在 后 台 悄 悄 地 运行 了 
G_Server. exe 文件 ,种 植 了 冰河 木马 。 如 图 4-18 所 示 , 在 Windows 任务 管理 器 中 新 增 了 
test, exe notepad. exe, Kernel32. exe 和 Sysexplr. exe 四 个 进程 ,后 两 个 是 冰河 程序 。 


O Windows 任务 管理 器 
文件 FE) 选项 @) EEV 关机 人 ho 
应 用 程序 | 进程 “| 性 能 ”| 联网 AP 


| | 映像 名 称 用 户 名 CPU AFRA ^ 
Kernel32. exe Administrator 
Administrator 
Administrator 
Administrator 
Adninistrator 
mupdate, exe Administrator 
ctfmon exe Administrator 
RI exe Administrator 
KAVSveUT. EXE Administrator 
hpwuSchd2. exe Administrator 
hpenpmer. exe Administrator 
SysExplr. exe Administrator 
inetinfo. exe 
cisve. exe 
spoolsv. exe 
WINWORD. EXE Administrator 
EXPLORER. EXE Administrator 
< 


显示 所 有 用 户 的 进程 G) (eo 


进程 数 : 36 CPV 使 用 : 100% BM: 263204K / 6407161 


A417 完成 木马 的 伪装 图 4-18 悄悄 运行 冰河 木马 


6. 木马 的 运行 机 制 

攻击 者 通过 欺骗 等 方法 使 受害 者 运行 木马 的 Server 端 程序 后 ,程序 将 常 驻 在 内 存 中 并 
开放 一 个 特殊 的 端口 ,通过 监听 该 端口 以 确定 是 否 有 客户 端 程序 需要 进行 远程 连接 。 如 果 
收 到 一 个 连接 请 求 , 则 Server 程序 将 等 待 来 自 客 户 端的 指令 以 执行 相应 的 操作 。 
4.3.2 木马 实例 冰河 


冰河 是 由 广东 省 黑白 网 络 工作 室 的 黄鑫 编 写 的 国产 远程 管理 软件 ,主要 有 G_Client. 
exe 和 G_Server. exe 两 个 文件 组 成 。G_Client. exe 是 监控 端 程序 ,可 以 用 于 监控 远程 计算 
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机 和 配置 服务 器 ,对 应 的 G_Server. exe 就 是 服务 器 端 程序 。G_Server. exe 可 以 任意 改名 ， 
而 且 运行 时 无 任何 提示 ,直接 进入 内 存 , 并 将 被 控制 计算 机 的 7626 端口 开放 ,使 得 拥有 冰河 
客户 端 软件 G_Client. exe 的 计算 机 可 以 对 其 进行 远程 控制 。 

1. 客户 端 控制 程序 配置 

(1) 双击 运行 客户 端 控 制程 序 G_Client. exe, 界 面 如 图 4-19 所 示 。 


\ ke] ¥2.2 [DARKSUN 专 版 ] 
文件 [F] ”编辑 区 ] RE RHN 


aa 3 rgy EATR 


当前 连接 : [LocalHost =] 端口: e268 ane: | 应 用 [s] 


A 文件 管理 器 | 命令 控制 台 | 
a DEREN 文件 名 称 TERAP) | 晤 后 更 新 时 间 


=E Localhost rc: 
Sr 


Sr: 


图 4-19 冰河 界面 
(2) 执行 “文件 "| * 配 置 服 务 器 程序 ”命令 或 单 击 * 配 置 本 地 服务 器 程序 "按钮 ,出 现 如 
图 4-20 所 示 的 界面 。 


自我 保护 | 性 邮件 通知 | 


: [SYSTEM> 可 文件 名 称 : [ERIEL5Z EXE 
: indors 访问 口令 : 


: [AS BH, 连接 , SHR, WP, password, connect, account, login, logon 


: freze 厂 自动 删除 安装 文件 MV 茜 止 自动 拨号 


待 配置 文件 : [SEVERE = 确定 


图 4-20 ”服务 器 配置 
O 设置 “访问 口令 ”, 这 样 只 有 知道 口令 才能 实现 远程 控制 。 单 击 “ 邮 件 通知 ”选项 卡 ， 
出 现 如 图 4-21 所 示 的 界面 。 
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T Bees | 自我 保护 让 aE] 


如 果 不 需要 发 送 动态 IF， 请 将 编辑 框 清空 


SMTF 服 务 器 : 接收 信箱 : 


AS 
MV 系统 信息 厂 开机 口令 r 缓存 口令 厂 共享 资源 信息 


armo: ESE EE | 关闭 


图 4-21 邮件 设置 


(4) 输入 邮箱 地 址 ,可 以 通过 邮件 获取 被 控制 方 的 相关 信息 。 

2. 搜索 安装 了 木马 服务 器 端的 计算 机 

(1) 执行 “文件 ”|1“ 自 动 搜索 ”命令 ,弹出 如 图 4-22 所 示 的 对 话 框 。 

(2) 在 “起 始 域 "后 的 编辑 框 里 输入 想 要 查找 的 IP 地 址 ,如 要 搜索 IP 地 址 为 *127. 0. 0. 1” 
至 “127. 0.0.255” 网 段 的 计算 机 ,应 将 “起 始 域 " 设 为 *127.0.0”, 将 “起 始 地 址 ”和 “终止 地 址 ” 
分 别 设 为 “1” 和 “255”。 

(3) 单 击 “开始 搜索 ?按钮 ,在 搜索 结果 里 显示 检测 到 的 正在 网 上 的 计算 机 的 TP 地 址 ， 
地 址 前 面 的 “ERR:” 表 示 这 台 计 算 机 无 法 控制 ; 显示 “OK:” 则 表示 它 曾 经 运行 过 G_ 
Server, exe, 可 以 进行 控制 ,如 图 4-23 所 示 。 


Sa 搜索 计算 机 acia Sa 搜索 计算 机 


正在 扫描 子 网 127.0.0... 


图 4-22 “搜索 计算 机 ”对 话 框 图 4-23 找到 目标 计算 机 


(4) 单 击 “ 关 闭 ” 按 钮 ,返回 到 冰河 主 界 面 ,如 图 4-24 所 示 。 与 未 搜索 前 的 冰河 界面 相 
H ,在 “文件 管理 器 ?下 增加 了 搜索 到 的 计算 机 。 

3. 对 找到 的 计算 机 实现 远程 控制 

(1) 在 “文件 管理 器 ”中 可 以 对 远程 计算 机 中 的 文件 进行 各 种 操作 ,就 像 是 对 自己 计算 
机 中 的 文件 操作 一 样 方便 ,如 图 4-25 所 示 。 
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\ Pk] ¥2.2 [DARKSUN 专 版 ] 
XE] RRE 设置 [G] MHM 
BZEB2 BR ew @ BA Ok 
当前 连接 : [127.0.0.1 =] wo: |e = wane: | 应 用 ts) 
A 文件 管理 器 | 命令 控制 台 | 
我 的 电脑 | 文件 名 称 文件 大 小 GD | 晤 后 更 新 时 间 
+) LocalHost oc: 
由 | 127.0.0.1 on: 
Sr: 
EE 
图 4-24 主 界面 发 生 了 变化 
》 DKF] Y2- 2 [DARKSUN 专 版 ] 
XE RBE 。 设置 [c] MHN 
Baay a 2A oO & 
| aeg: [127.0.0.1 =] 端口 : [62 yan: | 应 用 (sl 
& 文件 管理 器 |I 命令 控制 台 | 
可 局 和 的 电脑 文件 大 小 他 节 ) [最 后 更 新 时 间 
+) LocalHost 
= a 127.0.0.1 
加 Cc Ctrl+C 
+ 9D 
ai: Ctrl+D 
Ctrl+F 
Ctrl+N 
Ctrl+U 
图 4-25 ”对 远程 计算 机 中 的 文件 进行 各 种 操作 
(2) 单 击 “命令 控制 台 ”, 在 如 图 4-26 所 示 的 “口令 类 命令 "中 可 以 查看 系统 信息 、 各 种 
口令 ,. 击 键 记录 等 。 


G) 在 如 图 4-27 所 示 的 “控制 类 命令 ”中 ,可 以 对 被 控制 方 计算 机 进行 “查看 屏幕 ”“ 屏 


(4) 在 


AAY 


节令 命令 ” 


网 络 类 中 可 以 进行 创建 共享 等 操作 ; 在 “文件 类 命令 ”中 可 以 对 目录 、 文 
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文件 [E] BEG) AHN 


当前 连接 : [127.0.0.1 口 : reze tans: | 


局 文件 管理 器 D 命令 控制 台 em 


zag BOe Gea om 


应 用 [S] 


Fentiun 
Windows NT 
C: WINDOWSA 
C: WINDOWS \systen32\ 


昌国 口令 类 命令 
系统 信息 及 口令 
@ 历史 口令 
@ Hick 

oy 控制 类 命令 

= Q maiS 

aA 文件 类 命令 


findowshitas 


HEIN-4A7FOC8380 


Administrator 
266" 


Q 注册 表 读 写 


À 设置 类 命令 AE 


800 
600 


te 
a 


HE 


eae 


3356. 78662109375M 
393. 838592529297M 


ER SERET 
Ske MESANE 
a Baa saane 
coe RAREN D DAMS 
出 | 


C: \DOCUME “1\ADNINI “1 \LOCALS™1\Temp\, 


开机 口令 缓存 口令 


图 4-26 口令 类 命令 


》 dki Y2- 2 [DARKSUN 专 版 ] 


文件 [E] 设置 [G] ATH 


| 当前 和 连接: [Locost =] 端口 : [62 ans: | 


exes D Aseme | 


B23 Bw a BA ok 


A 口令 类 命令 

= 站 控制 类 命令 
9 
@ 发 送信 息 
o 进程 管理 
o 窗口 管理 
@ 系统 控制 
@ 鼠标 控制 
@ 其 他 控制 


E 


图 4-27 控制 类 命令 
件 进行 各 种 操作 ; 在 “注册 表 读 写 " 中 可 以 对 注册 表 键 值 进 
中 可 以 进行 更 改 计 算 机 名 等 操作 。 
4. 冰河 的 清除 


行 读 写 等 操作 : 在 “设置 类 命令 


冰河 的 G_Server. exe 服务 器 端 程序 在 计算 机 上 运行 后 ,会 在 Windows\system32 目录 


下 生成 Kernel32. exe 和 Sysexplr. exe 两 个 文件 ,并 将 自身 删除 ,i 


这 样 木马 实际 上 就 变 成 了 
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Kernel32. exe 和 Sysexplr. exe, Kernel32. exe 在 开机 时 自动 启动 , 它 是 木马 的 主 程序 ,用 来 
和 客户 端 连 接 ; Sysexplr. exe 通过 修改 注册 表 与 扩展 名 为 TXT 的 文件 进行 关联 ,双击 打开 
任何 一 个 TXT 文件 后 ,该 程序 就 会 被 执行 一 遍 , 再 由 它 生 成 一 个 Kernel32. exe 文件 ,并 让 
其 随 系统 启动 。 如 果 只 删除 了 Kernel32. exe 而 没有 删除 Sysexplr. exe, 就 相当 于 什么 也 没 
做 ,因为 Sysexplr. exe 会 借助 文件 关联 重新 生成 主 程序 。 

要 想 删除 冰河 ,必须 将 Kernel32. exe 和 Sysexplr. exe 都 删除 才 行 。 具 体 步 又 如 下 : 

C) 按 Ctrl 十 Alt 十 Del 键 ,打开 “任务 管理 器 ”, 单 击 “ 进 程 ” 选 项 卡 ,找到 Kernel32. exe 
和 Sysexplr. exe 的 进程 , 单 击 “ 结 束 进程 ”按钮 ,使 它们 退出 内 存 。 

(2) 到 Windows\system32 目录 下 找到 Kernel32. exe 和 Sysexplr. exe 两 个 文件 ,将 它 
们 删除 。 

G) 修改 被 冰河 修改 过 的 注册 表 : 执行 “ 开 
始 ” 上 运行 ”命令 ,在 运行 文本 框 中 输入 regedit, 单 


数值 名 称 @@) : 
[EEE 加 — _ | 击 “ 确 定 ” 按 钮 ,出 现 “ 注 册 表 编辑 器 "对话 框 ,选择 
ESRO: = < ~ 、 ~ 
poe HKEY _ LOCAL _ MACHINE \ SOFTWARE \ 
Microsoft\ Windows\CurrentVersion\ Run, i“ 2k 
认 ” 字 符 串 , 出 现 如 图 4-28 所 示 的 对 话 框 。 将 其 
4-28 “编辑 字符 串 " 对 话 杠 数据 内 容 C: \ WINDOWS\ system32\ KERNEL32 


.EXE 删除 。 

(4) 用 同样 方法 处 理 注 册 表 中 的 HKEY _LOCAL_MACHINE\SOFTWARE\ 
Microsoft\ Windows\ Current Version\ Runservices 项 ,这 样 就 取消 了 Kernel32. exe 的 开机 
启动 。 

(5) 打开 注册 表 的 HKEY_CLASSES_ROOT\txtfile\shell\open\command 项 ,双击 
“默认 ”字符 串 ,在 “数值 数据 ”文本 框 中 输入 C:\WINDOWS\system32\notepad. exe %1, 单 
击 “ 确 定 ” 按 钮 ,这 样 就 恢复 了 . txt 文件 与 记事 本 的 关联 ,Sysexplr. exe 再 也 不 起 作用 了 。 

对 于 冰河 1. 2 正式 版 以 后 的 各 版 本 都 在 客户 端 提 供 了 彻底 的 印 载 功能 ,具体 方法 是 ， 
执行 “命令 控制 台 ”|* 控 制 类 命令 "| * 系 统 控制 "| 自动 印 载 冰河 ”命令 ,出 现 如 图 4-29 所 示 
的 对 话 框 , 单 击 “ 是 ”按钮 即 可 。 

5. 冰河 的 反 入 侵 

木马 的 反 入 侵 是 指 在 已 知 黑客 利用 木马 人 侵 , 通 过 布下 反 控制 措施 ,让 黑客 暴露 出 真实 
身份 。 针 对 冰河 的 反 入 侵 方法 是 : 使 用 冰河 作者 黄鑫 提供 的 、 可 以 伪装 成 冰河 被 控 端 的 “ 冰 
河 陷阱 ”来 反 控制 “控制 者 ”。 具 体 步 又 如 下 : 

(1) 运行 “冰河 陷阱 . exe” 文 件 , 自 动 检测 系统 是 否 已 经 被 安装 了 “冰河 "被 控 端 程序 ,如 
果 是 , 则 出 现 如 图 4-30 所 示 的 界面 ,提示 用 户 自动 清除 。 


QD) ”你 确定 要 将 远程 计算 机 上 的 冰河 彻底 清除 吗 ? 2) Rt gel REE ， 


图 4-29 自动 卸载 冰河 图 4-30 自动 检测 冰河 
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(2) 单 击 “ 是 ”按钮 “冰河 陷阱 ”向 用 户 显示 已 经 被 安装 的 “冰河 ”配置 信息 ,如 图 4-31 所 示 。 
G) 单 击 “ 确 定 ” 按 钮 ,清除 所 有 版 本 的 “冰河 "被 控 端 程序 ,并 提示 清除 日 志保 存在 当前 
目录 的 “清除 日 志 . txt” 文 件 中 ,如 图 4-32 所 示 。 


安装 路 : C:\WINDOWS\systen32 
W a | Kernel32. ex we 
: RUEIRO 
ial AS 
: 口令 ,密码 , 连接 , 登录 , KP, 


assword, connect, account, login, logon 
ane 


i Tetite 


图 4-31 显示 配置 信息 图 4-32 显示 清除 “冰河 ”信息 


(4) 单 击 “ 确 定 ” 按 钮 ,出 现 如 图 4-33 所 示 的 运行 主 界面 (如 果 在 运行 “冰河 陷阱 . exe” 文 
件 时 ,系统 中 没有 冰河 , 则 直接 出 现 本 界面 ) 。 


k, “Okie KABE v1. 2 
RHQ) REV Hh 


操作 命令 | 命令 参数 | 所 在 地 


图 4-33 “冰河 陷阱 ”运行 主 界面 


此 时 ,“ 冰 河 陷 阱 ”会 完全 模拟 真正 的 “冰河 ”被 控 端 程序 对 监控 端的 命令 进行 响应 ,使 监 
控 端 产生 仍 在 正常 监控 的 错觉 ,同时 完全 记录 监控 端的 IP 地址、 命令 .命令 参数 等 相关 信 
息 。 在 入 侵 者 尚未 退出 “冰河 ”监控 端 程序 之 前 ,还 可 以 通过 “冰河 信使 ”功能 与 入 侵 者 对 话 。 
并 可 以 将 所 有 由 远程 监控 端 上 传 的 文件 ,保存 在 UPLOAD 目录 下 供用 户 分 析 。 


4.3.3 木马 的 检测 


随 着 科学 技术 的 发 展 , 木 马 也 变 得 越 来 越 狭 独 ,很 多 木马 已 经 可 以 借助 邮件 、 网 页 ` 局 域 
网 、 磁 盘 等 多 种 方式 进行 传播 ,一 些 木 马 甚 至 能 够 阻止 反 病 毒 软件 对 它 的 检测 。 

如 何 检测 一 个 系统 中 是 否 有 木马 程序 呢 ? 木马 的 本 质 是 程序 ,必须 运行 起 来 后 才能 工 
作 , 所 以 必定 会 在 系统 中 留 下 一 些 蛛丝马迹 。 下 面 针 对 一 些 常 用 木马 所 惯用 的 伎俩 来 找 出 
躲 在 系统 中 的 木马 。 

1. 检查 是 否 存在 陌生 进程 

因为 木马 的 运行 会 生成 系统 进程 ,虽然 也 有 一 些 技术 可 以 使 木马 进程 不 显示 在 进程 管 
理 器 中 ,但 大 多 数 木 马 在 运行 时 都 会 在 系统 中 生成 进程 。 
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进程 检查 可 以 通过 按 Ctrl 十 Alt 十 Del 键 ,在 出 现 的 任务 管理 器 中 实现 。 也 可 以 通过 
“开始 "| "程序 "| 附件 ?|* 系 统 工具 ”|* 系 统 信息 "|* 软 件 环境 ”| * 正 在 运行 任务 "中 详细 检查 
当前 正在 运行 的 进程 ,如 图 4-34 所 示 。 表 4-3 列举 了 最 基本 的 系统 进程 ,它们 是 系统 运行 
的 基本 条 件 ,其 他 附加 的 系统 进程 ,可 以 根据 需要 增加 或 减少 。 


名 称 路 径 
realsched exe c:\program files\common file. 
services. exe c: \windows\system32\servi ces. 
sass. exe ci Mwindows\systen32\smss, exe 
spoolsv. exe ci \windows\system32\spoolsv. exe 
svchost. exe ci Mwindows\systen32\svehost exe 
svchost. exe 5 
svchost. exe c: windows \systen32\svchost. exe 
svchost. exe 不 可 用 
svchost. exe 不 可 用 
sysexplr. exe ci \her osoft \herové\sysexplr. exe 
system 不 可 用 
system idle pro. 不 可 用 
toa. exe c:\program files\the cleaner 
tom. exe c:\program files\the cleaner 
5 winlogon. exe ci \windows\systenS2\winlogon 
Windows 错误 报告 winword. exe c:\progren files\nicrosoft o. 
@ Internet 设置 wisptis. exe ci \windows \system32\wisptis. exe 
四 Office 2003 应 用 程序 wmiprvse. exe R 


wsentfy. exe c: \windows\system32\wscnt fy. exe a 

< > 
查找 什么 如 :| Sk FMB ©) 
口 只 搜索 所 选 的 类 别 ©) 


图 4-34 在 系统 信息 中 检查 进程 
表 4-3 最 基本 的 系统 进程 


进 程 名 功能 作用 
csrss, exe 管理 Windows 图 形 相 关 任 务 
explorer. exe 管理 Windows 图 形 壳 ,包括 开始 菜单 任务 栏 . 桌 面 和 文件 管理 
lsass. exe 控制 Windows 安全 机 制 
services, exe 管理 启动 和 停止 服务 
smss. exe 会 话 管理 服务 
spoolsv. exe 打印 管理 
eee 加 载 并 执行 系统 服务 指定 的 DLL 文件。 启动 的 服务 数量 决定 该 进程 的 数量 ,一 
般 在 4 或 5 个 左右 
winlogon. exe Windows 登录 管理 器 ,用 于 处 理 系统 的 登录 和 登录 过 程 


2. 检查 注册 表 

虽然 有 少数 木马 与 特定 的 文件 捆绑 ,在 运行 被 捆绑 的 文件 时 运行 ,但 大 部 分 木马 都 把 自 
己 登 记 在 开机 启动 的 程序 中 ,这 样 就 可 以 通过 注册 表 进 行 检查 。 

执行 “开始 ”| * 和 运行” 命令 ,在 弹出 的 对 话 框 中 输入 regedit, 打 开 注 册 表 编辑 器 ,检查 注 
册 表 的 启动 项 ,如 图 4-35 所 示 。 

(1) 检查 HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion 下 的 
Run, RunOnce, RunOnceEx, RunServices 等 启动 项 中 是 否 有 可 疑 的 程序 。 由 于 反 病 毒 软件 
在 默认 情况 下 并 不 扫描 回收 站 ,有 些 木马 就 将 其 挂 在 回收 站 中 (recycled 目录 ), 如 果 发 现 注 
册 表 启动 程序 指向 回收 站 目录 ,就 要 对 此 怀疑 。 

(2) 检查 HKEY_CLASSES_ROOT\exefile\shell\open\command 项 是 否 有 . exe 文件 
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FO RED SEW kka HRW 
m MS-DOS Emulation A|| 名 称 
s0: fab) euo GEREED) 
C OptimalLayout (ab)cydoorUpdate RunDl132 C: \WINDOWS\4 
田 policies 
由 国 Reinstall 
E Reliability 
aE Ru 
arm 
E Ran0ncegx 
C Runservices 
由 国 Setup 
E Sharedllls 
由 国 Shall Extensions 
EE ShellCompatibility 
B ShellSerap 
C ShellServi ceObject! 
由 国 SideBySide 
国 smzn 
由 国 Syncmer 


#66) FA \HKEY_LOCAL_MACHINE\SOFTHARE\Microsoft \Windows\CurrentVersion\RunOnce 


图 4-35 ”检查 注册 表 


关联 型 木马 程序 ,正确 的 键 值 应 该 是 :"%1"”% * 。 如 果 看 到 键 中 包含 任何 默认 以 外 的 东 
西 ,就 要 将 其 改 回 默 认 值 。 例 如 当 其 值 为 files32. vxd" %1" % * 时 ,表示 任何 . exe 文件 运 
行 时 ,放置 在 files32. vxd 中 的 代码 也 随 之 自动 运行 。 

(3) 检查 HKEY_CLASSES_ROOT\inffile\shell\open\command 项 是 否 有 inf 文件 关 
联 型 木马 程序 ,正确 的 键 值 应 该 是 : Windows\System32\NOTEPAD. EXE %1。 

(4) 检查 HKEY_CLASSES_ROOT\inifile\shell\open\command 项 是 否 有 ini 文件 关 
联 型 木马 程序 ,正确 的 键 值 应 该 是 ; Windows\System32\NOTEPAD. EXE %1, 

(5) 检查 HKEY_CLASSES_ROOT\txtfile\shell\open\command 项 是 否 有 txt 文件 关 
联 型 木马 程序 ,正确 的 键 值 应 该 是 : Windows\system32\NOTEPAD. EXE %1, 

3. 检查 开放 的 端口 

在 网 络 技术 中 ,端口 有 两 种 意思 : 一 是 物理 意义 上 的 端口 ,如 ADSL modem ,集线器 、 交 
换 机 、 路 由 器 等 用 于 连接 其 他 网 络 设备 的 接口 (RJ-45 端口 .SC 端口 等 ); 二 是 逻辑 意义 上 的 
端口 ,一般 是 指 TCP/IP 协议 中 的 端口 ,端口 号 的 范围 从 0 一 65 535。 这 里 指 逻辑 意义 上 的 
端口 。 

逻辑 意义 上 的 端口 有 多 种 分 类 标准 , 按 端口 号 分 布 分 为 知名 端口 (范围 从 0 一 1023 ,如 
FTP 的 21 端口 ,SMTP 的 25 端口 ,HTTP 的 80 端口 ) 和 动态 端口 (范围 从 1024 一 65 535， 
这 些 端口 号 一 般 不 固定 分 配给 某 个 服务 ,只 要 应 用 程序 向 系统 提出 访问 网 络 的 申请 ,系统 就 
可 以 从 这 些 端口 号 中 分 配 一 个 给 该 程序 使 用 ) 。 动 态 端口 也 常常 被 病毒 .木马 程序 所 利用 ， 
如 冰河 默认 连接 端口 是 7626、WAY 2.4 是 8011、Netspy 3. 0 SE 7306, YAI 病毒 是 1024 等 。 

一 般 的 木马 都 会 在 系统 中 监听 某 个 端口 ,因此 可 以 通过 查看 系统 上 开启 的 端口 来 判断 
是 否 有 木马 在 运行 ,查看 方法 如 下 。 

执行 “开始 | 运行 "命令 ,在 弹出 的 对 话 框 中 输入 cmd, 在 打开 的 窗口 中 输入 命令 : 
netstat -an( 命 令 的 开关 符 含义 如 表 4-4 所 示 ) ,可 以 查看 系统 当前 已 经 建立 的 连接 和 正在 监 
听 的 端口 ,同时 可 以 查看 正在 连接 的 远程 主机 的 IP 地 址 ,如 图 4-36 所 示 。 
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表 4-4 netstat 命令 开关 符 含义 

开 关 符 A x 
-a 显示 所 有 活动 的 TCP 连接 以 及 计算 机 监听 的 TCP 和 UDP 端口 
-e 显示 以 太 网 发 送 和 接收 的 字 节 数 ,数据 包 数 等 
-n 只 以 数字 形式 显示 所 有 活动 的 TCP 连接 的 地 址 和 端口 号 
-0 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID(PID) 
-s 按 协议 显示 各 种 连接 的 统计 信息 ,包括 端口 号 


Local Address 栏 对 应 的 是 本 机 的 IP 地 址 和 开放 的 


C:\Documents and Settings\Adninistratornetstat -an 


Active Connections 


Proto 
TCP 
TCP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 


ddress 


State 

LISTENING 
LISTENING 
LISTENING 


口号 相同 ,说明 本 机 藏 有 该 种 木马 。 


表 4-5 


给 出 


图 4-36 检查 端口 


给 黑客 ,高 端口 常用 来 通过 网 络 远程 控制 木马 程序 。 


表 4-5 部 分 常见 木马 使 用 的 端口 号 


sala 


端口 ,如 果 端 口号 与 常见 木马 的 端 


了 部 分 常用 木马 和 它们 所 用 端口 的 对 应 表 , 低 端口 常用 来 窃取 口令 并 传送 


端口 号 木马 名 称 | 端口 号 木马 名 称 

666 Satanz backdoor 1001 Silencer 

1011 Doly Trojan 1170 Psyber Stream Server 
1234 Ultors Trojan 1245 VooDoo Doll 

1492 FTP99CMP | 1600 Shivka 

1807 SpySender | 1981 Shockrave 

1999 BackDoor 2001 Trojan Cow 

2023 Ripper | 2115 Bugs 

2140 DeepThroat, The Invasor | 2801 Phineas 

3700 Portal of Doom | 4092 WinCrash 

1590 IcqTrojan | 5000 Sockets de Troie 
5001 Sockets de Troie 1. x 5321 Firehotcker 

5400 Blade Runner | 01 Blade Runner 1. x 
5402 Blade Runner 2. x | Robo Hack 

5742 WinCrash 6670 DeepThroat 

6771 DeepThroat 6969 GateCrasher , Priority 
7000 Remote Grab 7300 Netspy 

7301 Netspy 1. x | 7306 Netspy 2. x 

7307 Netspy 3. x | 7308 Netspy 4. x 

7789 ICQKiller | 9872 Portal of Doom 
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续 表 

端口 号 木马 名 称 端口 号 木马 名 称 

9873 Portal of Doom 1. x 9874 Portal of Doom 2. x 

9875 Portal of Doom 3. x 9989 iNi- Killer 

10067 Portal of Doom 4. x 10167 Portal of Doom 5. x 

11000 Senna Spy 11223 Progenic trojan 

12223 Hack’99 KeyLogger 12346 NetBus 1. x 

12361 Whack-a-Mole 12362 Whack-a-Mole 1. x 

16969 Priority 20001 Millennium 

20034 NetBus Pro 21544 GirlFriend 

22222 Prosiak 23456 Evil FTP 

26274 Delta 31337 Back Orifice 

31338 DeepBO 33333 Prosiak 

40412 The Spy 40421 Masters Paradise 

40422 Masters Paradise 1. x 40423 Masters Paradise 2. x 

40426 Masters Paradise 3. x 50505 Sockets de Troie 

50766 Fore 53001 Remote Windows Shutdown 
61466 Telecommando 65000 Devil 


默认 情况 下 ,有 很 多 不 安全 的 或 没有 什么 用 的 端口 是 开启 的 ,如 FTP 服务 的 21 端口 、 
Telnet 服务 的 23 端口 . SMTP 服务 的 25 端口 、RPC 服务 的 135 端口 等 。 为 了 保证 系统 的 
安全 性 ,可 以 通过 下 面 的 方法 关闭 端口 。 

A) 执行 “控制 面板 ?| “管理 工具 ”| 服务 "命令 ,在 如 图 4-37 所 示 的 “服务 窗口 中 找到 
相关 服务 ,如 DHCP., 


[Er mika) SEV HRA 
[+> |B SAB earn 


Fe BS ce 

NCE Client 名 称 | 描述 | 状态 | Bas | 登录 为 ”| A 

二 intomatie Updates ”区 许 下 三 并 安装 Windows 更 新 ,加 果 此 服务 被 茜 用 ,i 计 已 启动 自动 本 地 系统 

guns hAire AntiVir G... Offers permanent protection against viruses and m =e 本 地 系统 

此 服务 Avire AntiVir S... Service to schedule Avira AntiVir Personal - Free 手动 二 地 系统 

Gp Backeroand Inte. TRERWEPRURSBZGORE. TOMRET B 手动 本 地 系统 

ae Bycripbook 局 用 “区 由 入 查看 器” 依存 信息 并 与 远 得 计划 机 共享 。 已 区 用。 本 地 系统 

通过 注册 和 更 28 Tr 地 址 以 及 DIS 名 COM Brent Systen 支持 系统 事件 通 知 服务 GzNs) ,此 职务 为 订阅 姐 件 对 象 ，， ”已 启动 手动 本 地 系统 

REMANAN. Con System App... 管理 至于 Col 要件 的 配置 和 跟踪 。 加 果 服 务 停 | 上 K. 手动 本 地 系统 

BpConputer Browser 。 准 护 网 络 上 计划 机 的 更 新 列表 ,并 格 列表 提供 给 计算 机 . 自动 本 地 系统 

Rpcrrptocarhic S.. 提供 三 种 管理 她 务 - 搞 录 数 党 服务 ， 它 确定 Winds LBs A3 二 地 系统 

Bye Server Pro... 为 DC0 服务 提供 加 能 功能 。 283 自动 FAR 

‘DCP Client 通过 注册 和 更 改 IP 地 址 以 及 DES 名 称 来 管理 网 络 也 置 ， ”已 启动 自动 Ext 

Distribated Lin .在 计算 机 内 MES 文件 之 则 保持 链接 或 在 网 络 域 中 的 计 ，， BB S% 本 地 系统 

Ristridated Tra.. HAST HALA, LH RAED, F% PARS 

poss Client AHERE EN ONS) SH. WRR.. 已 启动 ”自动 Paka 

网 Eror hepor tine ,服务 和 应 用 程序 在 地 标准 环 境 下 运行 时 多 许 铺 误 报告。 ERE FARE 

SEvent Log 局 用 在 事件 查看 器 查看 基于 Windews ORF MATR 已 启动 8% 本 地 系统 

人 Fat leer Svite 为 在 多 用 户 下 需要 协助 的 应 用 程序 提供 管理 BB% f% 本 地 系统 

Brey and Sport 局 用 在 此 计算 机 上 运行 励 和 支持 中 心 。 加 果 停止 服务 ，，” 已 局 动 FR 本 地 系统 

x00 Input Service 局 用 对 智能 界面 设备 00D) 的 适用 输入 访问 ， 它 激活 并 . 26% 5% 本 地 系统 

TP ssL 此 服务 通过 安全 套 接 字 旦 SSL) 实 现 HTTP 服务 的 安全 起 F% 本 地 家 统 

BTMFT CD-Durnin... FA Image Mastering Applications Programming Inter F% FAR 

Gpindering Service 。 本 地 和 和 到 程 计算 机 上 女 件 的 索引 内 容 和 必 性 ; 通过 灵活 手动 二 地 系统 

IPSEC Services HW IF 安全 策略 以 及 局 动 ISNDIP/0saey CHE) MI.. BB S% 可 地 系统 

Hlocica Disk ua .， 监 而 和 监视 新 三 盘 驱 动 器 并 向 远 每 三 盘 符 理 器 管理 服务 - 28% 自动 SMR 

Bplocical Disk Wa. REF2RSAME. MSO MIR N BET, HE. 手动 本 地 系统 

esseneer REPRISER WET SED 和 Asrter 服务 ERB | 本 地 系统 

pws softvare sh SREPLARSMONAEE SA, WEEE 手动 本 地 系统 

ret Logon LAFSA HHH passthrough 困 忆 区 好 身份 对 证 事件 。 F% 本 地 系统 

LNermectine Reno. 使 返 权 用 户 能 名 通过 使 用 getlleeting 路 企业 intranet F% FAFA 

Bpietwork Connect... SH PIMA SHER" 文件 夹 中 对 象 ,在 其 中 您 可 以 . Eas 手动 本 地 系统 

Bp vetwork DDE 为 在 同一 蔚 计算 机 或 不 同 计算 机 上 运行 的 程序 提供 动态 ESM 本 地 系统 

HFeteork DDE Isa SHRYSRBLA Ou) 网 络 共享。 加 果 此 服务 终止 ， ted 
Gpretwork Locatio. 收集 并 保存 网 六 配置 和 位置 信息 ， EBA . ZB% F% 本 地 系统 a 

\FB ABET 


437 “服务 "窗口 
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(2) 双击 该 服务 ,出 现 如 图 4-38 所 示 的 属性 对 话 框 。 
(3) 单 击 “ 停 止 "按钮 ,停止 该 服务 。 在 “启动 类 型 ”下拉 列表 框 中 选择 “已 禁用 ”, 如 图 4-39 


所 示 。 


DHCP Client 的 属性 (本 地 计算 机 ) 
第 规 ”| 登录 
服务 名 称 


(pest | 依存 关系 | 
Dhep 

显示 名 称 四: 

描述 四 

可 执行 文件 的 路 径 0 

C: \WINDOWS\ syst em32\ svchost. exe -k netsves 


BINO: [Ba 


服务 状态 已 启动 


通过 注册 和 更 改 IP 地 址 以 及 DNS 名 称 来 管理 = 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


DHCP Client 的 属性 (本 地 计算 机 ) 


服务 名 称 : 
显示 名 称 四 
描述 四 ) 


启动 类 型 E) 


BIO 


启动 参数 W 


4-38 ”属性 对 话 框 


BA BR | 恢复 依存 关系 | 


Dhep 


DHCP Client 


通过 注册 和 更 疏 IP 地 址 以 及 DNS 名 称 来 管理 = 


可 执行 文件 的 路 径 OD 
C: WINDOWS \systen32\svchost. exe -k netsves 


| 自动 


当 从 此 处 启动 服务 时 ,您 可 指定 所 适用 的 局 动 参数 ， 


4-39 更 改 启动 类 型 


(4) 单 击 “确定 ”按钮 。 这 样 ,关闭 了 DHCP 服务 就 相当 于 关闭 了 对 应 的 端口 。 


表 4-6 是 部 分 端口 的 作用 、 


漏洞 和 操作 建议 。 


表 4-6 部 分 端口 的 作用 漏洞 和 操作 建议 


端口 号 作 用 漏 洞 建 议 
21 | FTP 服 务 通过 匿名 登录 被 黑客 利用 人 
在 提 等 严重 
23 Telnet 服务 Se 建议 关闭 
25 | SMTP 服务 被 黑客 利用 转发 垃圾 邮件 en ees 
建议 关闭 
不 提供 ,建议 
DNS 服务 最 易 遭 黑客 攻击 oni 提供 域名 解析 服务 ,建议 
79 Finger 服务 被 扫描 探测 相关 信息 建议 关闭 
80 HTTP 为 了 能 正常 上 网 ,必须 开启 
110 | POPS 服务 被 窃取 POP 账号 用 户 名 和 密码 ls iit 
113 验证 服务 被 基于 IRC 等 木马 程序 所 利用 建议 关闭 
an 如 经 常 使 用 USENET 新 闻 组 ,不 
119 网 络 新 闻 组 Happy99 蠕虫 病毒 默认 端口 定期 关闭 该 端口 
135 远程 过 程 调用 “冲击 波 ? 病 毒 建议 关闭 
139 文件 和 打印 机 共享 被 扫描 探测 相关 信息 如 果 不 提供 共享 ,建议 关闭 
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续 表 
端口 号 作 用 ia 洞 建 议 
及 时 安装 微软 针对 SSL 漏洞 的 最 
443 HTTPS SSL 漏洞 新 安全 补丁 
445 文件 和 打印 机 共享 被 扫描 探测 相关 信息 如 果 不 提供 共享 ,建议 关闭 
554 RTSP Real 流 媒 体 ,建议 开启 
1080 | Socks 代理 服务 蠕虫 病毒 oe ee ERIS 
议 关闭 
1755 MMS 微软 流 媒 体 ,建议 开启 
4000 QQ 客户 端 使 用 QQ ,建议 开启 
5554 震荡 波 病毒 建议 关闭 


4. 使 用 冰 刃 进行 检查 
冰 刃 是 专 为 检查 系统 中 的 幕后 黑手 一 一 木马 和 后 门 而 设计 的 , 它 使 用 了 大 量 新 颖 的 内 
核 技术 ,可 以 查看 进程 端口 内核 信 息 、 启 动 组 服务、 注册 表 和 任何 隐藏 的 文件 等 ,使 内 核 
级 的 后 门 无 法 躲藏 。 
运行 时 ,其 标题 栏 显示 的 是 一 串 随机 字符 串 ,而 不 是 通常 所 见 的 软件 程序 名 ,如 图 4-40 
所 示 。 这 样 , 很 多 通过 标题 栏 来 关闭 程序 的 木马 和 后 门 在 它 面 前 都 无 功 而 返 了 ,一 些 木马 或 
后 门 就 算 通过 鼠标 或 键盘 钩子 控制 窗口 退出 按钮 ,也 不 能 结束 IceSword 的 运行 。 
项 nuaqjeC8DBAE -| 
文件 转 储 插件 外 观 帮助 
-xuy 
| we IceSword |] 


A440 随机 出 现 的 标题 栏 字符 串 


单 击 “ 进 程 "按钮 ,在 右 侧 列 出 的 进程 中 ,隐藏 的 进程 会 以 红颜 色 醒 目地 标记 出 ,以 方便 
查找 隐藏 自身 的 系统 级 后 门 ,并 可 以 使 用 右键 菜单 的 “结束 进程 ”将 它们 结束 。 

单 击 “ 端 口 "按钮 ,显示 进程 端口 关联 。 它 的 前 四 项 与 netstat -an 类 似 , 后 两 项 是 打开 该 
端口 的 进程 ,如 图 4-41 所 示 。 

单 击 “ 服 务 ” 按 钮 ,也 能 看 到 用 红颜 色 标 记 的 隐藏 的 木马 的 服务 。 

5. 监控 注册 表 的 变化 

木马 服务 器 端的 首次 运行 都 会 改变 系统 的 注册 表 , 使 用 RegShot 可 以 监控 注册 表 的 变 
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Wi nuaqjgC8DBAE BEE 
文件 Re 插件 外 观 AERA 
— X fh g 
| 功能 端口 : 21 Ey 
Q 协议 “| 本 地 地 址 运程 地 址 [aes ] 进程 ID | 进程 程序 名 称 
“TCP 0.0.0.0 : 80 0.0.0.0 : 0 LISTENING 3992 C:\WINDOYS\system32\inetsrviint 
进程 “TCP 0.0.0.0 : 445 0.0.0.0 :0 LISTENING 4 NT OS Kernel 
a ?ICP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 1652 C: \WINDOYS\system32\svchost. exe 
a “TCP 0.0.0.0 : 2869 0.0.0.0 : 0 LISTENING 1944 C:WINDOWS\systen32\ svchost. exe 
“TCP 192. 168.1.100 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel 
mo 7TCP 0.0.0.0 : 443 0.0.0.0 : 0 LISTENING 3992 C:\WINDOYS\systen32\inetsrvtine 
“TCP 0.0.0.0 : 25 0.0.0.0 : 0 LISTENING 3992 C: \WWINDOWS\system32\inetsrv\ine 
A “TCP 0.0.0.0 : 1037 0.0.0.0 : 0 LISTENING 3892 C: \WWINDOWS\systen32\inetsrv\ine 
内 核 模块 “WP 127.0.0.1 : 3971 aoe 688 C:\Program Files\360safe\380se\ 
“VDP 192. 168.1. 100 : 53 eo 1892 C:\WINDOWS\systen32\svchost. exe 
“VDP 0.0.0.0 : 1031 sis 1692 C: \WINDOWS\system32\svchost. exe 
oy “VDP 127.0.0.1 : 3479 eo 1292 C:\Program Files\360\360Safe\s+ 
启动 组 “VDP 192,168.1.100 : 1900 *: * 1944 C:\WINDOWS\systen32\svchost. exe 
“VDP 0.0.0.0 : 3456 eiS 3992 C: \WINDOWS\systen32\inetsrv\ine 
[= “VDP 192. 168.1.100 : 137 .:. 4 NIOS Kernel 
“VDP 127.0.0.1 : 1900 E 1944 C: \WINDOYS\system32\svchost. exe 
服务 “VDP 127.0.0.1 : 3637 .:. 3192 C:\Program Files\Microsoft Offi 
“WP 127.0.0.1 : 1032 a 1692 C: \WINDOWS\system32\svchost. exe 
1 “VDP 0.0.0.0 : 445 woe 4 WT OS Kernel 
or “VDP 192, 168.1. 100 : 138 ee 4 NT OS Kernel 
“RAR ——- --- 一 4 NT OS Kernel 


4-41 进程 端口 关联 


化 ,从 而 及 时 发 现 木马 。 

(1) 运行 RegShot ,出 现 如 图 4-42 所 示 的 运行 界面 。 单 击 “ 快 照 一 ”按钮 ,执行 “扫描 并 
保存 ”命令 ,对 注册 表 进 行 一 次 全 面 的 扫描 。 

(2) 扫描 结束 后 ,出 现 如 图 4-43 所 示 的 对 话 框 , 单 击 “ 保 存 ” 按 钮 ,保存 扫描 结果 。 


REED: [已 软件 了 | + 四 余力 - 
[az 
Da 
D 
Das 
E Regshot 1.61e5 Barre 
比较 记录 另存 为 : 一 一 一 一 一 
G 文本 文件 个 HTML 文件 
- FREY 


厂 扫描 目录 (可 添加 多 个 ) &) 一 


[D: \teacher ENVENI E| EEA 


megans: —— Pto | 


XFA) 


文件 各 中: feul =] 
保存 类 型 [): [Regshot 文件 [*. hiv] 了 取消 


图 4-42 ”程序 界面 图 4-43 ”保存 扫描 结果 
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(3) 保存 结束 后 ,“ 快 照 一 ”按钮 为 不 可 用 状态 ,如 图 4-44 所 示 。 
(4) 执行 冰河 服务 器 端 程序 .然后 单 击 “ 快 照 二 ”按钮 ,进行 第 二 次 扫描 ,扫描 完成 后 进 
行 保存 ,保存 完毕 后 “快照 二 ”按钮 也 变 成 不 可 用 ,如 图 4-45 所 示 。 


一 比较 记录 另存 为 : aN -比较 记录 另存 为 : 
C 文本 文件 个 TNL 文件 G 文本 文件 C ML 文件 


答 出 路 径 : MIRE: 
| “清除 加 
[teacher vema | IM [D: \teacher EIN 信息 对 = Ewan 


EMERE — EmEeReRTH: Bto 


XFW 


图 4-44 第 一 次 保存 结束 图 4-45 第 二 次 保存 结束 


(5) 单 击 “ 比 较 ” 按 钮 , 稍 后 得 到 如 下 结果 : 


REGSHOT 记录 文件 

个 人 注释 : 

日 期 时 间 :2005/9/7 09:24:35 , 2005/9/7 09:25:41 
计算 机 名 :HEIN- 4A7F0C8380 ，HEIN 一 4A7F0C8380 
用 户 名 称 :Administrator , Administrator 


HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ : "C:\WINDOWS\ system32\ 
Kerne132. exe" 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion\ Runservices\: "C:\WINDOWS\ 
system32\Kernel32. exe" 


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\: "Notepad. exe %1" 
HKEY_LOCAL_MACHINE\ SOFTWARE \ Classes \ txtfile\shell\open\command\: "C:\WINDOWS\ system32\ 
Sysexplr. exe %1" 


从 上 面 的 结果 中 可 以 看 到 : 冰河 木马 添加 了 包括 Run, RunServices 在 内 的 5 个 键 值 ， 
指向 Kernel32. exe 文件 ; 修改 了 9 个 键 值 .其 中 将 文本 文件 与 Sysexplr. exe 文件 建立 了 关 
WK. mi Kernel32. exe 和 Sysexplr. exe 文件 就 是 冰河 木马 。 
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4.3.4 木马 的 清除 


通过 以 上 方法 ,基本 能 确定 系统 中 是 否 存在 木马 。 
手工 清除 木马 的 步骤 是 : 找到 木马 文件 ,结束 木马 进程 .删除 木马 文件 、 进 行善 后 处 理 
(如 修改 注册 表 .恢复 文件 关联 等 ) ,具体 过 程 详 见 4. 3. 2 节 冰 河 的 清除 。 

当然 ,木马 查找 和 清除 的 最 好 办 法 还 是 借助 于 专门 的 软件 实现 。 专 业 的 木马 清除 工具 
有 Trojan Hunter 和 AVG Anti-Spyware (Ewido) 等 ,在 如 图 4-46 所 示 的 AVG Anti- 
Spyware 窗口 中 可 以 按 需 扫描 ,图 4-47 显示 了 扫描 到 的 安全 威胁 及 其 相关 信息 。 


A AVG Anti-Spyware mej] 
fta q æ @ We B w 5] ? 


状态 更 新 扫描 器 驻 留 护 盾 感染 RS 分 析 工具 秋 助 


扫描 | 设置 || 计划 器 


完整 系统 扫描 
扫描 内 存 注册 表 和 您 的 所 有 硬盘 、 


快速 系统 扫描 
扫描 内 存 , 注 册 素 ,Windows 目 录 和 cookie 文 件 夹 . 


注册 表 扫 撕 
扫描 Windows 注 册 表 寻找 恶意 软件 踪迹 


内 存 扫描 
扫描 内 存 寻 找 活动 威胁 


自 定 扫 描 
和 扫描 所 有 您 想 要 扫描 的 . 


Y P pA 


图 4-46 扫描 选项 
木马 查 杀 工 具 和 杀毒 工具 一 样 ,病毒 库 中 有 多 少 木马 的 特征 信息 , 它 就 能 查 杀 多 少 木 
马 , 没 有 升级 病毒 库 的 查 杀 工具 就 如 同 虚设 ,对 新 出 现 的 木马 根本 没有 检测 和 查 杀 能 力 , 因 
此 要 经 常 升级 病毒 库 。 


4.3.5 木马 的 预防 


与 病毒 一 样 ,木马 是 一 种 危险 的 破坏 性 程序 ,要 保护 自己 的 机 器 不 被 木马 入 侵 , 应 该 做 
到 以 下 几 点 。 

1, 防止 电子 邮件 传播 木马 

一 定 要 养 成 良好 的 上 网 习惯 ,不 要 随意 运行 邮件 中 的 附件 。 在 通常 情况 下 ,包含 木马 的 
邮件 都 将 木马 隐藏 在 附件 中 ,常用 的 伎俩 是 采用 双 扩 展 名 ,如 将 木马 文件 2005. exe 改名 为 
2005. txt. exe, 再 换 上 一 个 记事 本 图 标 , 这 样 用 户 看 到 的 只 是 一 个 文件 名 为 2005. txt 的 文本 
文件 ,如 果 双 击 的 话 就 会 运行 木马 了 。 解 决 办 法 是 在 资源 管理 器 中 执行 “工具 ”|“ 文 件 夹 选 
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EE AVG Anti-Spyware Dee 
状态 更 新 Ane 驻 留 护 盾 BR 报告 分 析 帮助 
扫描 设置 | 计划 器 | 
Y 29 个 对 象 被 找到 (49 个 踪迹 | Y Adware.Generic 
威胁 操作 mÈ a TERHERE SRB | REMAN E 

| AN Ar RTE ee eo TAREE 

OTrackingCookie. Imrworldvide 中 和 这 所 铸 或 集成 到 其 地 软件 
| QtrackingCookie. Doubleclick 中 
| | @trackingCookie, Revenue 中 
| OTrackingCookie. Skype 中 

QtrackingCookie. Real 中 T s 

QtrackingCookie. Yieldmanager 中 ae TERREA FEIRA: 

O Trackingcooki e. 207 中 E) HKUN. DEFAULT\Software\Microsoft\Windows\Curren. . 

QtreckingCockie Adbrite $ (BH\S-1-5-18\Software\Mi crosoft\Windows Curren. .. 

QrackingCookie. Adengage 中 

Q TrackingCookie. Adtech 中 

QtrackingCookie. Advertising 中 

OTrackingCookie Atdmt 中 

Q trackingCookie. Serving-sys 中 

加 Trackingcookis Casalemedia 中 

Q TrackingCookie. Sextracker 中 

[Or vs Ci aka 由 = 

设置 所 有 元 素 为 : 

应 用 所 有 操作 C erre JC was J 


A447 扫描 结果 


项 ”命令 ,在 “文件 夹 选项 "对话 框 中 单 击 “ 查 看 ”选项 卡 ,将 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 
选项 去 除 ,如 图 4-48 所 示 。 


| 常规 | 查看 | 文件 类 型 | 脱 机 文件 | 
件 赤 使 用 的 视图 (例如 详细 


文件 夹 视图 
pees! 
FERF) 所 有 文件 来。 


应 用 到 所 有 文件 夹 OJ | 重 置 所 有 文件 来 A 


高 级 设置 

V) 鼠标 指向 文件 夹 和 点 面 项 时 显示 提示 信息 
显示 系统 文件 夹 的 内 容 

M) 隐 若 受 保 护 的 操作 系统 文件 (推荐 ) 
D 隐 闻 文件 和 文件 来 

© 不 显示 隐藏 的 文件 和 文件 夹 

O 显示 所 有 文件 和 文件 来 

隐 千 已 知 文件 类 型 的 扩展 名 

用 彩色 显示 加 密 或 压缩 的 NTFS 文件 
在 标题 栏 显示 完整 路 径 

在 单独 的 进程 中 打开 文件 夹 窗口 
在 登录 时 还 原 上 一 个 文件 夹 窗口 


还 原 为 默认 值 加 ) 


A448 显示 文件 扩展 名 
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利用 电子 邮件 传播 木马 的 更 隐蔽 的 方式 是 通过 邮件 正文 进行 。 由 于 焉 漏洞 造成 
HTML 文件 中 可 以 被 放 入 不 安全 的 代码 ,而 电子 邮件 可 以 通过 HTML 方式 发 送 , 所 以 
当 用 户 浏览 HTML 格式 的 邮件 内 容 时 ,在 没有 打开 附件 的 情况 下 就 不 知 不 觉 地 中 了 
木马 。 

所 以 ,当面 对 一 封 主题 不 明确 或 主题 很 有 诱惑 性 的 邮件 时 ,最 好 的 办 法 是 把 整个 邮件 保 
存 到 本 地 硬盘 , 先 用 杀毒 软件 查 杀 ,确定 安全 后 再 打开 。 


2. 防止 下 载 时 感染 木马 


养 成 良好 的 下 载 习惯 ,不 要 到 一 些小 网 站 中 下 载 东 西 , 对 任何 下 载 的 文件 和 程序 都 不 要 
直接 打开 ,而 是 先 使 用 杀毒 软件 查 毒 后 再 打开 。 

使 用 FlashGet 等 下 载 工具 进行 下 载 ,并 把 下 载 工 具 和 杀毒 软件 进行 捆绑 ,以 达到 下 载 
后 自动 杀毒 的 目的 。 

在 FlashGet 中 实现 捆绑 的 方法 如 下 : 

A) 运行 FlashGet ,执行 “工具 ”| * 选 项 ”命令 。 

(2) 单 击 “ 文 件 管理 ”选项 卡 , 选 中 “下 载 完 毕 后 进行 病毒 检查 " 复 选 框 ,如 图 4-49 所 示 。 


| 7a | 代理 服务 器 | 连接 | 协议 | 监视 | 镜像 
| 性 能 图 形 /日 志 | 文件 管理 | 拨号 网 络 | 计划 | 事件 | 站 点 管理 | 其 地 | 
移动 条 目 时 已 下 载 的 文件 0) 
OFBA OW ORRO 名 移动 中 
如 果 目 标 文件 已 存在 
OTEO OBREZ Ww OEFTERO 
下 载 完毕 后 进行 病毒 检查 V) 


RE =a M | 
RA 自动 进行 病毒 检查 的 文件 扩展 名 : 

ZIP;. EXE; . DO?: . XL?;. COM;. BIN;. GZ; . 2; . TAR:. ART; . Li] 
下 载 完毕 后 打开 或 者 查看 已 下 载 的 文件 O 
件 类 型 T) . MP3; . MPG; . MPEG; . MOV; . AVI 


某 些 文件 移动 到 移动 存储 设备 W : 


449 下载 完毕 后 进行 病毒 检查 


(3) 单 击 “ 浏 览 ” 按 钮 ,选择 杀毒 软件 所 在 位 置 。 “参数” 和 “自动 进行 病毒 检查 的 文件 扩 
展 名 ”两 个 文本 框 按 默认 设置 。 
3. 防止 浏览 网 页 时 传播 木马 
HF IE 默认 设置 的 不 安全 性 ,导致 文件 和 程序 可 以 在 不 经 过 允许 的 情况 下 被 下 载 到 本 
地 执行 ,可 以 通过 对 TE 进行 安全 设置 杜绝 这 种 途径 的 传播 。 具 体 方法 如 下 : 

(1) 打开 IE, 执行“ 工具 ”|*Internet 选项 ”命令 。 

(2) 在 “Internet 选项 ”对 话 框 中 单 击 “ 安 全 ”选项 卡 ,再 单 击 “ 自 定义 级 别 ” 按 钮 ,出 现 如 
图 4-50 所 示 的 对 话 框 。 

(3) 将 “ActiveX 控件 和 插件 ”中 所 有 选项 设置 为 禁用 。 这 就 阻止 了 IE 自动 下 载 和 执行 
文件 的 可 能 性 ,杜绝 了 这 类 木马 的 传播 。 
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4. 使 用 防火 墙 

虽然 很 多 传统 的 防火 墙 不 会 阻止 木马 进入 被 保护 的 网 络 ,但 它们 可 以 阻止 任何 木马 连 
接 到 黑客 并 进行 远程 访问 。 即 使 木马 能 够 通过 邮件 通知 黑客 它 的 入 侵 成 功 , 新 的 木马 端口 
也 很 有 可 能 被 正确 配置 的 防火 墙 拒绝 ,如 图 4-51 所 示 。 


设置 @): 
E 
图 Activex 控件 自动 提示 
© 禁用 是 否 允 许 Microsoft (R) Windows (TID 
操作 系统 访问 网 络 ? 


_ OBR 
O 对 标记 为 可 安全 执行 脚本 的 Active BERTE 
© 禁用 同 络 信息 


: ae 可 人 :信和 各 
示 

图 对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 WO: Kow [7626] 
© 禁用 


文件 信息 

DRS Microsoft (R) Windows (TW) 操 
Ew 2. 2, 0, 0 

LEE + 2005-9-7 


EEN): | 安全 级 - 高 Bit: C:\WINDOWS\ systen32 
: \Kerne132, exe 


ria 


图 4-50 “安全 设置 "对 话 框 图 4-51 使 用 防火 墙 拒绝 木马 


4.4 H 描 器 


黑客 人 侵 网 络 主机 的 流程 是 : 首先 利用 扫描 工具 Ping 某 一 IP 段 ,寻找 目标 主机 ,发 现 
目标 主机 后 扫描 该 主机 开放 的 端口 ,利用 开放 端口 ,获取 目标 主机 的 相关 信息 ,如 服务 程序 ， 
利用 该 程序 的 已 知 漏洞 或 直接 入 侵 或 上 传 木马 程序 ,以 达到 入 侵 的 目的 。 

在 网 络 安全 领域 ,扫描 器 是 最 出 名 的 网 络 工 具 之 一 。 黑 客 在 发 起 攻击 前 ,要 收集 远程 目 
标 主 机 的 相关 信息 ; 一 名 优秀 的 网 络 管理 员 也 需要 随时 了 解 服务 器 端的 运行 状态 ,以便 发 
现 安全 隐患 。 对 双方 而 言 ，- 个 好 的 端口 扫描 器 可 以 起 到 事半功倍 的 作用 。 

扫描 是 攻击 过 程 的 一 个 极其 重要 的 环节 ,成 功 的 扫描 往往 能 直接 导致 一 次 成 功 的 攻击 ， 
而 一 次 粗心 大 意 的 扫描 往往 会 使 攻击 者 得 不 到 有 用 的 信息 而 被 迫 知 难 而 退 , 甚 至 被 人 跟踪 
从 而 被 反 黑 或 者 入 狱 。 从 防御 角度 看 ,能 防 好 黑客 扫描 ,基本 就 成 功 了 一 半 。 


4.4.1 漏洞 概述 


系统 安全 漏洞 ,也 叫 系 统 脆弱 性 ,简称 漏洞 ,是 计算 机 系统 在 硬件 .软件 .协议 的 设计 与 
实现 过 程 中 或 系统 安全 策略 上 存在 的 缺陷 和 不 足 。 这 些 安全 缺陷 被 技术 高 低 不 等 的 人 侵 者 
利用 ,从 而 达到 控制 目标 主机 或 破坏 的 目的 。 

非法 用 户 可 利用 漏洞 获得 计算 机 系统 的 额外 权限 ,在 未 经 授权 的 情况 下 访问 或 提高 其 
访问 权限 ,从 而 破坏 系统 的 安全 性 。 


让 
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1. 漏洞 造成 的 危害 

漏洞 造成 的 危害 是 多 方面 的 。 近 年 来 许多 突 发 的 .大 规模 的 网 络 安全 事件 多 数 都 是 由 
于 漏洞 而 导致 的 。 

漏洞 对 系统 造成 的 危害 在 于 : 虽然 它 本 身 不 会 直接 对 系统 造成 危害 ,但 它 可 能 会 被 攻 
击 者 利用 ,继而 破坏 系统 的 安全 特性 。 

通常 而 言 ,漏洞 会 对 以 下 五 种 系统 安全 特性 造成 危害 : 

1) 系统 的 完整 性 

攻击 者 可 以 利用 漏洞 入 侵 系统 ,对 系统 数据 进行 非法 算 改 ,达到 破坏 数据 完整 性 的 
目的 。 

2) 系统 的 机 密 性 

攻击 者 利用 漏洞 给 非 授权 的 个 人 和 实体 泄漏 受 保 护 信息 。 有 些 时 候 , 机 密 性 和 完整 性 
EXAM. 

3) 系统 的 可 用 性 

攻击 者 利用 漏洞 破坏 系统 或 者 网 络 的 正常 运行 ,导致 信息 或 网 络 服务 不 可 用 ,合法 用 户 
的 正常 服务 要 求 得 不 到 满足 。 

4) 系统 的 可 控 性 

攻击 者 利用 漏洞 对 授权 机 构 控 制 信息 的 机 密 性 造成 危害 。 

5) 系统 的 可 靠 性 

攻击 者 利用 漏洞 对 用 户 认可 的 质量 特性 (信息 传递 的 迅速 性 ,准确 性 等 ) 造 成 危害 。 

下 面 是 两 个 漏洞 危害 的 简单 实例 。 

LB] 4-6] 利用 Windows XP 的 AutoRun 漏洞 删除 硬盘 文件 。 

AutoRun 指 在 Windows XP 系统 的 计算 机 中 插入 光盘 后 ,光盘 中 Autorun. inf 文件 指 
定 的 程序 被 自动 运行 的 现象 。 利 用 Windows XP 的 AutoRun 漏洞 进行 攻击 的 过 程 如 下 : 

(1) 新 建 一 个 文本 文件 ,输入 如 下 内 容 : 


[AutoRun] 

open = run\del c:\test. txt 

(2) 保存 文件 ,将 该 文件 重 命名 为 Autorun. inf. 

(3) 使 用 光盘 刻录 工具 刻录 一 张 光盘 ,在 光盘 的 根 目 录 中 加 入 Autorun, inf 文件 。 

(4) 在 C 盘 根 目录 下 新 建 test. txt 文件 。 

(5) 插入 光盘 并 让 其 自动 运行 。 

(6) 光盘 自动 运行 结束 后 ,查看 C 盘 根 目录 ,发 现 文 件 test. txt 已 被 删除 。 

【 例 4-7】 利用 Foxmail 的 漏洞 取消 保护 口令 。 

Q) 运行 Foxmail。 

(2) 右 击 账户 名 test, 执 行 “访问 口令 "命令 .出现 如 图 4-52 所 示 的 对 话 框 。 

G) 在 对 话 框 中 输入 口令 , 单 击 “ 确 定 ” 按 钮 。 

(4) 关闭 并 重新 打开 Foxmail, 双击 被 保护 的 账户 test, 出 现 如 图 4-53 所 示 的 对 话 框 ， 
表示 访问 口令 设置 已 生效 , 单 击 “ 取 消 ?按钮 ,然后 关闭 Foxmail。 
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B 


口令 (29) 


请 输入 账户 访问 口令 : 
Ase: 
WUC) : 


图 4-52 设置 访问 口令 图 4-53 访问 口令 生效 


G) 通过 “我 的 电脑 ?进入 Foxmail 程序 的 安装 文件 夹 , 再 进入 mail\ test 文件 夹 , 找 到 
保存 账户 配置 信息 的 Account. stg 文件 ,将 其 删除 。 

(6) 运行 Foxmail, 双 击 被 保护 的 账户 test, 发 现 对 该 账户 的 所 有 操作 均 可 进行 。 这 是 
由 于 Account. stg 文件 被 删除 后 ,Foxmail 会 自动 新 建 一 个 空 的 Account. stg 文件 ,而 新 建 
文件 的 账户 口令 为 空 值 ,所 以 删除 Account. stg 文件 后 可 以 直接 访问 被 保护 的 账户 。 

2. 漏洞 产生 的 原因 

漏洞 产生 的 主要 原因 是 由 于 程序 员 不 正确 或 不 安全 的 编程 引起 的 。 漏 洞 产 生 的 原因 不 
外 乎 以 下 几 种 : 

1) 输入 验证 错误 

由 于 未 对 用 户 提 供 的 输入 数据 的 合法 性 做 适当 的 检查 。 这 种 错误 导致 的 安全 问题 
最 多 。 

2) 访问 验证 错误 

由 于 程序 的 访问 验证 部 分 存在 某 些 可 利用 的 逻辑 错误 ,或 用 于 验证 的 条 件 不 足以 确定 
用 户 的 身份 而 造成 的 。 这 类 缺陷 使 非法 用 户 绕 过 访问 控制 成 为 可 能 ,从 而 导致 未 经 授权 的 
访问 。 

3) 竞争 条 件 错误 

由 于 程序 在 处 理 文件 等 实体 时 在 时 序 和 同步 方面 存在 问题 ,在 处 理 的 过 程 中 可 能 存在 
一 个 机 会 窗口 使 攻击 者 能 够 施 以 外 来 的 影响 。 

4) 意外 情况 处 置 错误 

由 于 程序 在 它 的 实现 逻辑 中 没有 考虑 到 一 些 本 应 该 考虑 的 意外 情况 。 这 种 错误 比较 
常见 。 

5) 配置 错误 

由 于 系统 和 应 用 的 配置 有 误 ,或 是 软件 安装 在 错误 的 地 方 ,或 是 参数 配置 错误 ,或 是 访 
问 权 限 配 置 错 误 等 。 

6) 环境 错误 

由 于 一 些 环境 变量 的 错误 或 恶意 设置 造成 的 漏洞 ,导致 有 问题 的 特权 程序 可 能 去 执行 
攻击 代码 。 

7) 设计 错误 

这 个 类 别 是 非常 笼统 的 ,严格 来 说 ,大 多 数 漏洞 的 存在 都 是 设计 错误 造成 的 。 

从 应 用 的 角度 看 ,系统 漏洞 可 以 分 为 网 络 安全 漏洞 和 系统 安全 漏洞 两 种 。 网 络 安全 漏 
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洞 主要 是 因 提供 网 络 服务 而 产生 的 ,系统 漏洞 主要 是 针对 本 地 用 户 而 言 的 。 
通常 根据 漏洞 产生 的 原因 、 存 在 的 位 置 和 利用 漏洞 攻击 的 原理 进行 分 类 ,如 表 4-7 
所 示 。 


表 4-7 漏洞 的 分 类 
漏洞 产生 原因 漏洞 存在 位 置 漏洞 攻击 原理 
故意 软件 
T 硬件 | EE ETE] ye | 后 门 | BF 
恶意 | 非 恶 意 | 意 | 应 用 软件 系统 | 服务 器 服务 | 溢出 错误 


4. 漏洞 的 发 现 

漏洞 是 客观 存在 的 ,但 是 漏洞 的 存在 不 一 定 能 够 被 发 现 。 

漏洞 是 不 断 地 被 人 们 发 现 并 公布 出 来 的 。 漏 洞 的 发 现 者 主要 是 程序 员 、 系 统管 理 员 、 安 
全 服务 商 、. 黑 客 以 及 普通 用 户 。 

从 攻击 者 的 角度 ,他 们 会 不 断 地 去 发 现 目标 系统 的 安全 漏洞 ,从 而 通过 漏洞 入 侵 系 统 。 
从 系统 安全 防护 的 角度 来 看 ,系统 管理 员 会 努力 发 现 可 能 存在 的 系统 漏洞 ,在 漏洞 被 攻击 者 
发 现 、 利 用 之 前 就 将 其 修补 好 。 

5. 漏洞 的 检测 

漏洞 检测 即 通过 一 定 的 技术 方法 主动 地 去 发 现 系统 中 未 知 的 安全 漏洞 。 

现 有 的 漏洞 检测 技术 有 源 代码 扫描 、 反 汇编 代码 扫描 、 渗 透 分 析 、 环 境 错误 注入 等 。 源 
代码 扫描 \ 反 汇编 代码 扫描 以 及 渗透 分 析 都 是 一 种 静态 的 漏洞 检测 技术 ,不 需要 程序 运行 即 
可 分 析 程 序 中 可 能 存在 的 安全 漏洞 。 而 环境 错误 注入 是 一 种 动态 的 漏洞 检测 技术 , 它 在 程 
序 动态 运行 过 程 中 测试 软件 存在 的 漏洞 .是 一 种 比较 成 熟 的 漏洞 检测 技术 。 

1) 源 代码 扫描 

源 代码 扫描 技术 主要 针对 开放 源 代码 的 程序 ,由 于 相当 多 的 安全 漏洞 在 源 代码 中 会 
出 现 类 似 的 错误 ,所 以 就 可 以 通过 匹配 程序 中 不 符合 安全 规则 的 部 分 ,如 文件 结构 、 命 名 
规则 .函数 .堆栈 指针 等 ,从 而 发 现 程序 中 可 能 隐 含 的 安全 缺陷 。 这 种 漏洞 检测 技术 需要 
熟练 掌握 编程 语言 ,并 预先 定义 出 不 安全 代码 的 审查 规则 ,通过 表达 式 匹 配 的 方法 检查 
源 程序 代码 。 这 种 方法 不 能 发 现 程 序 动态 运行 过 程 中 存在 的 安全 漏洞 ,而 且 会 出 现 大 量 
的 误 报 。 

2) 反 汇 编 代 码 扫描 

对 于 不 公开 源 代 码 的 程序 , 反 汇 编 代码 扫描 是 最 有 效 的 检测 方法 。 分 析 反 汇编 代码 需 
要 有 丰富 的 经 验 和 很 高 的 技术 。 可 以 自行 分 析 代 码 , 也 可 以 使 用 辅助 工具 得 到 目标 程序 的 
汇编 脚本 语言 ,再 对 汇编 出 来 的 脚本 语言 使 用 扫描 的 方法 ,检测 不 安全 的 汇编 代码 序列 。 通 
过 反 汇 编 代码 扫描 这 种 方法 可 以 检测 出 大 部 分 的 系统 漏洞 ,但 这 种 方法 费时 费力 ,对 人 员 的 
技术 水 平 要 求 很 高 ,同样 不 能 检测 到 程序 动态 运行 过 程 中 产生 的 安全 漏洞 。 

3) 渗透 分 析 

渗透 分 析 方 法 是 依据 已 知 安全 漏洞 知识 检测 未 知 的 漏洞 。 但 是 渗透 分 析 以 事先 知道 系 
统 中 的 某 种 漏洞 为 先决 条 件 。 渗 透 分 析 的 有 效 性 与 执行 分 析 的 程序 员 有 关 , 缺 乏 评 估 的 客 
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观 性 。 

4) 环境 错误 注入 

环境 错误 注入 法 是 在 软件 运行 的 环境 中 故意 注入 人 为 的 错误 ,并 验证 反应 
证 计算 机 和 软件 系统 容错 性 和 可 靠 性 的 一 种 有 效 方法 。 

【 例 4-8】 使 用 Windows 基准 安全 分 析 器 检查 漏洞 。 

Microsoft Baseline Security Analyzer(MBSA) 是 微软 公司 提供 的 检测 Windows 系统 
安全 的 免费 软件 。 可 以 进行 Windows 操作 系统 安全 漏洞 检测 IIS 安全 分 析 、Office 安全 分 
析 和 SQL Server 安全 分 析 。 其 使 用 步骤 如 下 : 

(1) JAZ} Microsoft Baseline Security Analyzer. th UNA 4-54 所 示 的 主 界 面 。 


这 是 验 


@ Microsoft Baseline Security Analyzer fe fe |x} 


® Baseline Security Analyzer 


Microsoft Baseline Security Welcome to the Microsoft Baseline Security Analyzer 
Analyzer 
The Mictosolt Baseline Security Analyzer checks computers running Microsoft Windows® Server 2003, 
Windows XP, Windows 2000, or Windows NT® 4.0 for common security misconfiguations, You must 
C Welcome have administrator privileges for each computer you want to scan. 
te 
日 Pek a compel in scan Scans can be perfomed locally and remotely against computers running Windows Server 2003, 
C Pick multiple computers to scan Windows XP, Windows 2000, and Windows NT 4.0. Note that on computers runring Windows XP and 
C Pick a security report to view ing see fie haio oriy local soane oani be periood 
E View a security report 


Scan a computer 
See Also Scan mare than one computer 


C Microsoft oa Security View existing security reports 
zer Help 


C About Microsoft Baseline Security 
Analyzer 


O Microsoft Security Web site 


E 4-54 MBSA 主 界面 


(2) 若 要 对 单机 进行 检测 , 单 击 Pick a computer to scan ,出 现 如 图 4-55 所 示 的 界面 。 

其 中 Check for Windows vulnerabilities 项 分 析 Windows 的 安全 性 ,Check for weak 
passwords 项 对 弱 口令 进行 分 析 ,Check for IIS vulnerabilities 项 对 Internet Information 
Server 的 脆弱 性 进行 评估 ,Check for SQL vulnerabilities 项 对 SQL Server 的 脆弱 性 进行 分 
析 ,Check for security updates 项 对 最 新 的 安全 更 新 进行 检查 。 

(3) 单 击 Start scan 按钮 ,系统 进入 扫描 状态 ,如 图 4-56 所 示 。 

(4) 扫描 结束 后 ,自动 出 现 分 析 结 果 和 安全 报告 ,如 图 4-57 所 示 。 

(5) 单 击 报告 中 的 Result Details 链接 ,就 会 列 出 详细 的 安全 漏洞 ,用 户 可 以 根据 这 些 
系统 漏洞 安装 补丁 程序 。 
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Ê Microsoft Baseline Security Analyzer 


® Baseline Security Analyzer 


Microsoft Basel Pick a computer to scan 


Specify the computer you want to scan. You can enter either the computer name or its IP address. 
O Welcome 
LIER comet BS ee MSHOME\HEN-4A7F000300 Bil 
C Pick multiple computers to scan IP address: 
C Pick a security report to view 


E View a security report 


| | | ~ 


| 
Security report name: [20%-%C% ET 
2D% = domain, %C% = computer, %T% = date and time, 
a DEN ZIP% = IP address 
a 4 
E Microsoft Baseline Securty Check for Window vuletabiiss, 
Analyzer Help Check for weak passwords 
E About Microsoft Baseline Security Check for IIS yuhnerabiities 
napaa Check for SQL vulnerabiities 
[E Microsoft Security Web site EI Check for stacy updates 
Use SUS Server: 


Leam more about Scanning Options 


Start sean 


ê 


Microsoft Baseline Security Scanning... 


Analyzer 


C Welcome 
Ch Pak a epa o ioi Currently scanning MSHOME\HEIN-4A7FOC8380 
C Pick multiple compute 


C Pick a security report to view 


C View a security report (Gor 


See Also 


C] Microsoft Baseline Security 
Analyzer Help 


C] About Microsoft Baseline S 
Analyzer 


C] Microsoft Security Web site 


4-56 系统 进行 扫描 
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Ê Hicrosoft Baseline Security Analyzer 


® Baseline Security Analyzer 


Microsoft Baseline Security View security report 
Analyzer 
Sort Order: Score (worst frst v 
C Welcome 
C Pick a computer to scan [windows Scan Results a 


G Pick multiple computers to scan Vulnerabilities 
G Pick a security report to view 


口 View a security report : 
x File System Not all hard drives are using the NTFS file system. 


‘What was scanned Result details How to correct this 
See Also 
C Microsoft Baseline Security 
ne 国 Windows Windows Frewal is disabled and has exceptions configured 
a ree Microsoft Baseline Security Firewall ‘What was scanned Result details How to correct this 
zer 


C Microsoft Security Web site 
Sa Guest Account The Guest account is not disabled on this computer. 
‘What was scanned 


v Administrators No more than 2 Administrators were found on this computer. 
What was scanned Result details 


[é] Next security report 国 


LC. All rights 
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6. 漏洞 的 修补 

漏洞 检测 的 目的 在 于 发 现 漏洞 ,一 旦 发 现 了 新 的 系统 安全 漏洞 ,那么 下 一 步 需 要 做 的 就 
是 及 时 下 载 系统 补丁 进行 “修补 ”。 

下 载 系统 补丁 可 以 使 用 Windows XP 自 带 的 “自动 更 新 ”功能 实现 ,具体 方法 是 执行 “ 开 
始 "|* 设 置 ?|* 控 制 面板 "|* 系 统 ” 命 令 ,在 弹出 的 “系统 属性 ?对 话 框 中 ,选择 “自动 更 新 ”标签 
中 的 相关 选项 ,如 图 4-58 所 示 。 


4.4.2 扫描 器 原理 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫 
描 , 能 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ,可 以 是 手工 扫描 ,也 可 以 用 端口 扫描 软 
件 进行 。 

1. 端口 扫描 的 概念 

端口 扫描 技术 是 一 项 自动 探测 本 地 和 远程 系统 端口 开放 情况 的 策略 及 方法 , 它 使 系统 
用 户 了 解 系统 目前 向 外 界 提供 了 哪些 服务 ,从 而 为 系统 用 户 管理 网 络 提供 了 一 种 手段 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探 测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 

端口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 IP 数据 包 来 监视 本 地 主机 的 
运行 情况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 从 而 发 现 目标 主机 的 某 些 内 在 的 弱点 ,而 不 会 
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SA | 计算 机 名 | 硬件 ”| 高 级 ”| 系统 还 原 | 自动 更 新 | 远程 


(ET 
ndows 可 s PERET. 7 
peee 


自动 更 新 如 何 工作 ? 


个 自动 推荐 ) W 
Ç] 自动 下 载 推荐 的 更 新 ， 并 安装 它们 


人 下 载 更 新 ， 但 是 由 我 来 决定 什么 时 候 安装 @@)。 
名 肌 可 用 下 载 时 通知 我 ， 但 是 不 要 自动 下 载 或 安装 更 新 0。] 
名 关闭 自动 更 新 他 )。 
9g 如 果 您 不 定期 安装 更 新 ， 您 的 计算 机 格 变 得 易 受 攻击 。 
A ti 安装 更 新 。 


图 4-58 自动 更 新 

提供 进入 一 个 系统 的 详细 步 又 。 

2. 常见 端口 扫描 技术 

常见 的 端口 扫描 技术 包括 TCP connect 扫描 、TCP SYN 扫描 以 及 秘密 扫描 。 

1) TCP connect 扫描 

通过 端口 扫描 ,根据 远程 主机 开放 的 端口 ,可 以 初步 确定 对 方 提 供 的 服务 类 型 。 

进行 端口 扫描 最 常用 的 方法 就 是 尝试 与 远程 主机 的 端口 建立 一 次 正常 的 TCP 连接, 若 
连接 成 功 则 表示 目标 端口 开放 。 这 种 扫描 技术 称 为 “TCP connect 扫描 ”,TCP connect 扫描 是 
TCP 端口 扫描 的 基础 ,也 是 最 直接 的 端口 扫描 方法 。 它 实现 起 来 非常 容易 ,只 需要 在 软件 编 
程 中 调用 Socket API 的 connect() 函数 去 连接 目标 主机 的 指定 端口 ,完成 一 次 完整 的 TCP 三 
次 握手 连接 建立 过 程 ,如 果 端 口 开 放 , 则 连接 建立 成 功 ; 否则 ,返回 一 1, 表 示 端 口 关 闭 。 

这 种 扫描 方法 的 优点 是 实现 简单 ,对 操作 者 的 权限 没有 严格 要 求 , 另 一 优点 是 扫描 速度 
快 。 这 种 扫描 方法 的 缺点 是 会 在 目标 主机 的 日 志 记录 中 留 下 痕迹 , 易 被 发 现 ,并 且 数 据 包 会 
被 过 滤 掉 。 

2) TCP SYN 扫描 

TCP 通信 双方 是 使 用 三 次 握手 来 建立 TCP 连接 的 ,申请 建立 连接 的 客户 端 需要 发 送 
一 个 SYN 数据 报 文 给 服务 端 ,服务 端 会 回复 ACK 数据 报 文 。 

半 开 放 扫描 就 是 利用 三 次 握手 的 弱点 来 实现 的 : 扫描 器 向 远程 主机 的 端口 发 送 一 个 请 
求 连 接 的 SYN 数据 报 文 ,如 果 没 有 收 到 目标 主机 的 SYN/ACK 确认 报 文 ,而 是 RST 数据 
报 文 ,就 说 明和 远程 主机 的 这 个 端口 没有 打开 。 而 如 果 收 到 远程 主机 的 SYN/ACK 应 答 , 则 
说 明 远 程 主机 端口 开放 。 

扫描 器 在 收 到 远程 主机 的 SYN/ACK 后 ,不 会 再 回复 自己 的 ACK 应 答 , 这 样 ,三 次 握 
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手 并 没有 完成 ,正常 的 TCP 连接 无 法 建立 ,因此 这 个 扫描 信息 不 会 被 记 入 系统 日 志 。 这 种 
扫描 技术 一 般 不 会 在 目标 计算 机 上 留 下 记录 。 

TCP SYN 扫描 的 优点 是 比 TCP connect 扫描 更 隐蔽 ,服务 器 端 可 能 不 会 留 下 日 志 记 
录 。 其 缺点 是 在 大 部 分 操作 系统 下 ,扫描 主机 需要 构造 适用 于 这 种 扫描 的 IP 包 , 而 通常 情 
况 下 ,构造 自己 的 SYN 数据 包 必须 要 有 root 权限 。 

3) 秘密 扫描 

秘密 扫描 是 一 种 不 被 审计 工具 所 检测 的 扫描 技术 , 它 通常 用 于 在 通过 普通 的 防火 墙 或 
路 由 器 的 筛选 时 隐藏 自己 。 

秘密 扫描 能 躲避 IDS .防火墙 `, 包 过 滤器 和 日 志 审 计 , 从 而 获取 目标 端口 的 开放 或 关闭 
的 信息 。 由 于 没有 包含 TCP 三 次 握手 协议 的 任何 部 分 ,所 以 无 法 被 记录 下 来 , 比 半 连 接 扫 
描 更 为 隐蔽 。 但 是 这 种 扫描 的 缺点 是 扫描 结果 的 不 可 靠 性 会 增加 ,而 且 扫 描 主 机 也 需要 自 
己 构 造 IP 包 。 

现 有 的 秘密 扫描 有 TCP FIN 扫描 、TCP ACK 扫描 \NULL iii. XMAS 扫描 和 SYN/ 
ACK 扫描 等 。 

3. 扫描 器 的 作用 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 可 以 不 留 
痕迹 地 发 现 远 程 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 的 服务 和 它们 的 软件 版 本 。 可 以 让 我 
们 间接 或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

通过 端口 扫描 ,可 以 得 到 许多 有 用 的 信息 ,如 目标 计算 机 的 用 户 名 、 目 标 计算 机 正在 运 
行 什么 服务 .这 个 服务 是 由 哪 种 软件 提供 的 .运行 的 是 什么 操作 系统 。 知 道 了 目标 计算 机 上 
运行 的 操作 系统 和 服务 应 用 程序 后 ,就 能 利用 已 经 发 现 的 漏洞 来 进行 攻击 。 如 果 目 标 计算 
机 的 网 络 管理 员 没 有 对 这 些 漏 洞 及 时 修补 的 话 ,. 入 侵 者 就 能 轻而易举 地 间 和 人 该 系统 ,获得 管 
理 员 权限 ,并 留 下 后 门 。 入 侵 者 得 到 目标 计算 机 上 的 用 户 名 后 ,能 使 用 口令 破解 软件 ,多 次 
尝试 后 ,就 有 可 能 进入 目标 计算 机 。 

一 般 情况 下 ,搜集 一 个 网 络 或 者 系统 的 信息 ,是 一 个 比较 综合 的 过 程 。 可 以 从 下 面 几 点 
HT: 

(1) 找到 网 络 地 址 范围 和 关键 的 目标 机 器 IP 地 址 。 

(2) 找到 开放 端口 和 入 口 点 。 

(3) 找到 系统 的 制造 商 和 版 本 。 

(4) 找到 某 些 已 知 的 漏洞 。 

4. 扫描 器 的 分 类 

按照 扫描 的 目的 进行 分 类 ,扫描 器 可 以 分 为 端口 扫描 器 和 漏洞 扫描 器 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 端 口 
扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 IP 数据 包 来 监视 本 地 主机 的 运行 情况 ， 
它 仅 能 对 接收 到 的 数据 进行 分 析 , 从 而 发 现 目标 主机 的 某 些 内 在 弱点 ,而 不 会 提供 进入 一 个 
系统 的 详细 步骤 。 

端口 扫描 器 并 不 是 一 个 直接 攻击 网 络 漏洞 的 程序 , 它 单纯 地 用 于 扫描 主机 开放 的 端口 
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及 端口 的 相关 信息 ,仅仅 能 帮助 我 们 发 现 目标 主机 的 某 些 内 在 的 弱点 。 通 过 选用 远程 
TCP/IP 不 同 端口 的 服务 ,并 记录 目标 给 予 的 回答 ,通过 这 种 方法 ,可 以 搜集 到 很 多 关于 目 
标 主 机 的 各 种 有 用 的 信息 ,如 是 否 能 用 匿名 登录 ,是 否 有 可 写 的 FTP 目录 ,是 否 开放 Telnet 
服务 等 。 常 见 的 端口 扫描 器 有 nmap, .portscan 等 ,它们 不 能 直接 给 出 可 以 利用 的 漏洞 ,只 给 
出 与 攻击 系统 相关 的 信息 。 一 个 好 的 端口 扫描 器 能 对 它 得 到 的 数据 进行 分 析 , 帮 助 我 们 查 
找 目标 主机 的 漏洞 。 

漏洞 扫描 器 不 仅仅 提供 简单 的 端口 扫描 功能 ,还 带 有 入 侵 性 质 , 如 Shadow Security 
Scanner, fii EFI X-Scan 等 。 它 们 不 仅 可 以 对 远程 操作 系统 类 型 及 端口 进行 扫描 ,而 且 还 可 
以 对 应 用 程序 信息 ,漏洞 及 系统 弱 口 令 进 行 扫描 。 它 们 用 已 知 的 漏洞 攻击 方法 检查 目标 主 
机 ,如 果 发 现 攻 击 生效 , 则 向 扫描 者 报告 该 漏洞 。 相 对 于 端口 扫描 器 ,漏洞 扫描 器 的 威胁 性 
更 大 ,黑客 可 以 直接 利用 扫描 的 结果 进行 攻击 。 


4.4.3 漏洞 扫描 器 X-Scan 


X-Scan 是 由 国内 著名 的 网 络 安全 站 点 一 一 安全 焦点 开发 的 一 款 运行 在 Windows 平台 
下 完全 免费 的 扫描 工具 。 它 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安 全 漏洞 检测 ， 
支持 插件 功能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 扫 描 内 容 包 括 : 远程 服务 类 型 操 
作 系 统 类 型 及 版 本 ,各 种 弱 口 令 漏 洞 . 后 门 .应 用 服务 漏洞 .网 络 设备 漏洞 .拒绝 服务 漏洞 等 
二 十 几 个 大 类 。 

下 面 是 使 用 X-Scan 进行 网 络 漏洞 扫描 的 实现 过 程 ， 

(1) 运行 X-Scan 的 图 形 界面 程序 xscan_gui. exe, 出 现 如 图 4-59 所 示 的 界面 。 


I) K-Scan v3.1 GUI DEAR 


文件 WD EWV BFQ IAW Language HG 
IIG@Gelne| 图 |4 过 | 器 
普通 信息 | 漏洞 信息 | 错误 信息 | 


X-Sean-v3.1 使 用 说 明 


一 ， 系 统 要 求 : Windows 了 4/2000/XP/2003 


二 ， 功 能 简介 ; 


采用 多 线程 方式 对 指定 IF 地址 段 或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ， 提 供 了 图 形 界面 和 命令 行 两 种 操作 方式 ， 扫 描 内容 包 括 : 远程 
服务 类 型 、 操 作 系 统 类 型 及 版 本 ,各 种 弱 口令 漏洞 、 后 门 、 应 用 服务 漏洞 、 网 络 设备 沁 洞 、 拒 络 服 务 漏洞 等 二 十 几 个 大 类 。 对 于 多 数 已 知 漏洞 ， 
我 们 给 出 了 相应 的 涡 洞 齿 述 、 解 决 方案 及 详细 描述 链接 ,其 它 泼 洞 资料 正在 进一步 整理 完善 中 ,您 也 可 以 通过 本 站 的 “安全 文摘 ”和 “安全 漏 
洞 ”栏目 查阅 相关 说 明 。 

3. 0 版 本 提供 了 简单 的 插件 开发 包 , 便于 有 编程 基础 的 朋友 自己 编写 或 将 其 地 调试 通过 的 代码 修改 为 x-Scan 插 件 。 另 外 Hessus 攻 击 脚本 的 翻译 
工作 已 经 开始 ,欢迎 所 有 对 网 络 安全 感 兴趣 的 朋友 参与 。 需 要 “Nessus 攻 击 脚本 引擎 ” 淹 代 码 、X-Scan 插 件 SDK、 示 例 插件 源 代码 或 愿意 参与 脚本 
PSLRA ， 可 通过 本 站 “X-Sean” 项 目 链接 获 职 详细 资料 : “http://www. xfocus. net/projects/X-Scan/index. html”。 


三 ， 所 需 文件 : 
xscan_gui, exe — X-Scan 图 形 界 面 主 程序 
xscan. exe 一 X-Scantr TEBE 
checkhost. exe 一 ”插件 调度 主 程序 
update, exe 一 ”在线 升级 主 程序 
* dl — 主 程序 所 需 动态 链接 库 
使 用 说 明 . txt -- X-Scan 使 用 说 明 
fdat/language. ini 一 ”多 语言 配置 文件 ， 可 通过 设置 “LANGUAGE\SELECTED” 项 进行 语言 切换 
/dat/Language. * 一 ”多 语言 数据 文件 


Tat /ronfis ini RAREST, RHRSSHUMESOAS. CURRIES R ESAT ESR ARR Y 


4-59 X-Scan 运行 界面 
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(2) 执行 “设置 "1“ 扫 描 模 块 "命令 ,出 现 “ 扫 描 模 块 " 对 话 框 ,如 图 4-60 所 示 。 根 据 需 要 
选择 相应 的 扫描 选项 ,设置 完成 后 单 击 “ 确 定 ” 按 钮 


图 4-60 “扫描 模块 "对 话 框 


(3) 执行 “设置 "1" 扫描 参数 ”命令 ,出 现 “ 扫 描 参 数 ” 对 话 框 ,如 图 4-61 所 示 。 在 “基本 
设置 "选项 卡 的 “指定 IP 范围 ?中 设置 目标 主机 的 IP 地 址 ,在 其 他 选项 卡 中 根据 需要 做 相应 
的 设置 或 保留 默认 值 ,设置 完成 后 单 击 “ 确 定 ” 按 钮 。 


HETEISHESA | sti 类 | 网 络 设置 | cf 相关 设置 | ot a | 
基本 设置 | 。 高 级 设置 端口 相关 设置 | SillP 相 关 设 置 | 

1. 二 党 2 re 

指定 Tf 范围 : merte 

厂 从 文件 奖 取 主 机 列表 报 省 文件 类 型 


im) 


M 扫描 完成 后 自动 生成 并 显示 报 第 


厂 保存 主机 列表 
列表 文件 
| 


载 入 最 初 设置 


图 4-61 “扫描 参数 "对 话 框 


(4) 单 击 X-Scan 程序 界面 工具 栏 中 的 “开始 扫描 ?按钮 ,或 执行 “文件 "| * 开 始 扫描 ” 命 
令 进 行 扫描 。 扫 描 过 程 的 X-Scan 界面 如 图 4-62 所 示 , 左 侧 的 主机 信息 树 显 示 了 各 项 扫描 
的 结果 ,右上 和 角 的 窗口 显示 目标 主机 地 址 和 当前 进度 等 信息 , 右 下 角 的 窗口 显示 扫描 过 程 中 
检测 到 的 信息 。 

(5) 扫描 结束 后 ,自动 弹出 报告 文件 ,如 图 4-63 所 示 。 对 于 报告 中 显示 的 大 多 数 漏洞 ， 
在 安全 焦点 网 站 (http://www. xfocus. net) 中 给 出 了 相应 的 漏洞 描述 、 解 决 方案 及 详细 描 
述 链 接 。 
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xO REW BFW IAW Language siLc 


|e o|> 0 m|e@|a | 
S 127.0.0.1 (Windows NT 5 [主机 Leia a a 
存活 主机 127.0.0.1 13 13 正在 执行 亚 SSUS 攻 击 脚本 "scripts\rwhois_format_string .na 


i= 


® 
EE |] 远程 操作 
G) Windows NT 5.1 
A 和 essus 攻 击 脚本 


加 2 
普通 信息 | 漏洞 信息 | 错误 信息 | 


K-Sean v3.1 - 网 络 安全 漏洞 扫 措 器 
安全 焦点 : http://www. xfocus. org, http://www. xfocus. net 


正在 检测 "127.0.0.1" .. 

[127.0.0.1]: 正在 检测 “存活 主机 ” 
[127.0.0.1]: 正在 检测 “开放 服务 ” 
[127.0.0.1]: EERW WT-Server3809" ... 
[127. 0.0.1] :“IT-Server 弱 口令 "扫描 完成 
[127.0.0.1]: 正在 检测 "WetBios 信 息 ”. . 
[127.0.0.1]: “WetBios 信 息 " 扫 拱 完 成 
[127.0.0.1]: EERW Snap E" 

[127. 0.0.1] :“Snmp 信 息 “ 扫 描 完成 
[127.0.0.1]: 正在 检测 "远程 操作 和 东 统 ”.. . 


; 文件 @) 编辑 E) SEY) BEW 


O~- O dapek oaa ND TEA M 
i HAE W (E) Sean-v3. 1\loe\127_0.0.1 report. muL Y ES) Bawage Jerr Drm : we» 


本 报表 列 出 了 被 检测 主机 的 详细 漏洞 信息 , MIRET ERER AG THAE TRIMS hox-sconBIA REM A 

存活 主机 1 

漏洞 数量 0 

Sane 0 d 

提示 数量 1 

检测 结果 

127.0.0. me | 发 现 安全 提示 

主机 搞 要 -05; Windows NT S4; 1; PORT/TCP: 135 | a 

(eons) Š 

主机 地 址 端口 /服务 服务 漏洞 

127.0.0.1 |epmap (135/tcp) 发 现 安全 提示 ¥ 
esr Y 我 的 电脑 


463 ”检测 报告 
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4.4.4 扫描 技术 的 发 展 趋势 


扫描 技术 在 网 络 安全 领域 中 起 到 了 越 来 越 重 要 的 作用 ,扫描 技术 将 会 朝 着 扫描 的 全 面 
性 .隐蔽 性 以 及 智能 性 等 方面 进一步 发 展 。 

1. 全 面 性 

随 着 扫描 技术 的 发 展 ,单一 的 技术 将 不 会 再 有 发 展 前 途 , 未 来 扫描 技术 的 一 个 基本 要 求 
就 是 能 够 发 现 数量 更 多 、 类 型 更 加 全 面 的 安全 漏洞 。 

现 有 的 安全 扫描 技术 ,如 端口 检测 扫描 技术 ,还 可 以 有 一 些 基本 规律 和 方法 可 以 总 结 。 
但 是 对 于 漏洞 检测 扫描 , 现 有 的 技术 基本 上 是 采用 漏洞 特征 匹配 的 方法 。 这 种 技术 存在 自 
身 的 缺点 , 即 存在 特征 库 更 新 的 问题 。 因 此 ,预计 不 久 的 将 来 ,安全 扫描 的 实现 将 会 出 现 一 
定 的 改进 。 

2. 隐蔽 性 

随 着 各 种 安全 防范 措施 和 软件 的 应 用 ,一 般 的 安全 扫描 操作 基本 上 能 够 被 扫描 方 发 现 。 
这 个 问题 已 经 引起 了 高 度 关注 ,一 些 方 法 已 经 被 使 用 ,其 中 安全 扫描 技术 的 隐蔽 性 就 是 一 个 
很 好 的 途径 和 方向 。 

现 有 的 安全 扫描 技术 ,如 半 连 接 扫 描 、 秘 密 端口 扫描 、 乱 序 扫描 等 都 会 被 现 有 的 防火 墙 
或 者 人 侵 检 测 系统 发 现 。 甚 至 一 些 隐蔽 的 扫描 技术 都 不 能 完全 做 到 隐蔽 。 因 此 ,未 来 的 一 
些 用 于 特殊 应 用 的 安全 扫描 技术 将 会 令 扫 描 操 作 更 加 隐蔽 .更 加 难于 被 发 现 。 

3. 智能 性 

随 着 计算 机 技术 和 智能 处 理 技术 的 发 展 ,扫描 技术 也 向 智能 化 的 方向 发 展 。 现 有 的 安 
全 扫描 技术 ,应 该 说 还 是 一 个 静态 的 检测 方法 。 所 谓 静 态 ,是 指 一 种 扫描 技术 只 针对 其 所 能 
扫描 的 对 象 进 行 检 测 , 还 未 能 达到 当 安 全 扫描 器 发 现 目 标 主机 某 些 端口 开放 时 ,智能 地 对 其 
相关 的 漏洞 进行 检测 ; 或 者 当 它 发 现 目 标 主机 存在 某 个 漏洞 时 ,智能 地 调用 其 他 漏洞 扫描 
技术 对 相关 漏洞 进行 检测 。 相 信 将 来 这 种 情况 将 会 得 到 进一步 的 改进 ,前 景 将 非常 乐观 。 
提高 扫描 技术 的 智能 性 ,可 以 明显 地 减少 毫 无 意义 的 一 些 扫描 过 程 ,提高 扫描 效率 ,同时 可 
以 深入 了 解 某 个 漏洞 的 相关 影响 程度 。 


4.4.5 反 扫 描 技 术 


黑客 常常 利用 扫描 技术 进行 信息 的 收集 ,因此 ,网 络 管理 员 或 者 个 人 用 户 为 了 阻止 非 正 
常 的 扫描 操作 并 防止 网 络 攻击 ,增加 系统 安全 性 ,就 有 必要 研究 反 扫 描 技 术 。 

1. 反 扫 描 技术 的 原理 

扫描 技术 一 般 可 以 分 为 主动 扫描 和 被 动 扫描 两 种 ,它们 的 共同 点 是 在 扫描 的 过 程 中 都 
需要 与 受害 主机 互通 正常 或 非 正常 的 数据 报 文 ,其 中 主动 扫描 是 主动 向 受害 主机 发 送 各 种 
探测 数据 包 , 根 据 其 回应 判断 扫描 的 结果 。 因 此 防范 主动 扫描 可 以 从 以 下 3 个 方面 人 手 : 

。 减 少 开放 端口 ,做 好 系统 防护 。 

。 实 时 监测 扫描 ,及 时 做 出 警告 。 

。 伪装 知名 端口 ,进行 信息 欺骗 。 

被 动 扫 描 与 受害 主机 建立 的 连接 通常 是 正常 连接 ,发 送 的 数据 包 也 属于 正常 范畴 ,而 且 


T 
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被 动 扫描 不 会 向 受害 主机 发 送 大 规模 的 探测 数据 ,因此 防范 被 动 扫描 的 方法 到 目前 为 止 只 


有 采用 信息 欺骗 这 一 种 方法 。 


【 例 4-9】 阻挡 Ping 命令 。 

Ping 是 检测 网 络 连 接 是 否 正常 的 一 条 命令 ,但 它 却 因 提 供 了 反馈 信息 ,有 可 能 成 为 黑 
客人 侵 系统 的 一 种 途径 。 为 了 提高 系统 的 安全 性 ,可 以 通过 IP 策略 让 系统 阻挡 Ping 命令 ， 
在 Windows XP 中 的 具体 设置 方法 如 下 : 

(1) 执行 “开始 "| 运行 ”命令 ,输入 MMC 命令 并 按 Enter 键 后 ,出 现 如 图 4-64 所 示 的 


控制 台 窗 口 。 


ja 控制 台 1 - [控制 台 根 结 点 ] 


T 文件 四 操作 由) 
+ + 上 | 四 | 2 


EEV KREXOQ BOW 帮助 


SEELA 


| 名 称 


此 视图 中 没有 可 显示 的 项 目 。 


图 4-64 控制 台 窗 口 


(2) 执行 “文件 ”1“ 添 加 /删除 管理 单元 ”命令 ,出 现 如 图 4-65 所 示 的 “添加 /删除 管理 单 


元 ”对 话 框 。 


G) 单 击 “ 添 加 ”按钮 ,出 现 如 图 4-66 所 示 的 “添加 独立 管理 单元 "对话 框 。 


添加 /删除 管理 单元 
独立 | 扩展 | 
使 用 此 页 来 添加 或 删除 控制 台 的 管理 单元 。 
SPAO: GAA 


添加 独立 管理 单元 


可 用 的 独立 管理 单元 : 
管理 单元 
Microsoft Corpora. 
Wyinternet 信息 服务 Microsoft Corpora.. 
Sir 安全 策略 管理 Microsoft Corpora, 
Sr 安全 监视 器 Microsoft Corpora. 
[S] Med 地 址 的 链接 Microsoft Corpora. 
wr 控件 Microsoft Corpora. 


国安 全 模板 Microsoft Corpora... 
励 安 全 配置 和 分 析 Microsoft Corpora... 
Qane mia Microsoft Corpora.. Gy 


描述 
ActiveX 控件 管理 单元 允许 您 添加 一 个 Active 控件 到 控制 台 。 


添加 由 | 


图 4-65 “添加 /删除 管理 单元 ”对 话 框 图 4-66 “添加 独立 管理 单元 ”对话 框 
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(4) 双击 其 中 的 “IP 安全 策略 管理 ”选项 ,出 现 如 图 4-67 所 示 的 “选择 计算 机 或 域 ”对 
选择 计算 机 或 域 


选择 这 个 管理 单元 要 管理 的 计算 机 或 域 
当 保存 这 个 控制 台 时 ， 也 会 保存 位 置 。 


 SHiTee 
运行 此 控制 台 的 计算 机 
个 此 计算 机 是 其 成 员 的 Active Directory 1 0) 


个 另 一 个 Active Directory 域 (用 DNS Sif, PIHO “example. microsoft, com”) M) 


C 另 一 台 计 算 机 w 


sew | 


4-67 “选择 计算 机 或 域 " 对 话 框 


(5) 选择 “本 地 计算 机 ”后 ,依次 单 击 “ 完 成 "按钮 “关闭 "按钮 和 “确定 ”按钮 ,返回 到 “ 控 
制 台 ”窗口 。 右 击 该 窗口 左边 区 域 中 的 “IP 安全 策略 ,在 本 地 计算 机 ”, 执 行 “ 创 建 IP 安全 策 
略 " 命 令 ,系统 打开 “IP 安全 策略 向 导 ”, 如 图 4-68 所 示 。 


IP 安全 策略 向 导 
欢迎 使 用 “IF 安全 策略 向 导 ”。 
E tees I 安全 策略。 你 格 指定 对 于 特定 的 
P 通讯 类 型 ， 和 特定 计算 机 或 计算 机 组 (于 网 ) 通 讯 时 
PAMS FR] 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 4-68 IP 安全 策略 向 导 


(6) 单 击 “ 下 一 步 ” 按 钮 设置 安全 策略 的 名 称 为 “阻挡 Ping 命令 ”, 如 图 4-69 所 示 。 
(7) 单 击 “ 下 一 步 ” 按 钮 ， Es 如 图 4-70 所 示 。 
(8) 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-71 所 示 的 界面 ,选择 * 此 字符 串 用 来 保护 密 钥 交 


换 ”, 并 输入 保护 密码 。 
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IP 安全 策略 向 导 


Ire 安全 策略 名 称 
命名 这 个 P 安全 策略 并 且 结 出 一 个 简短 的 描述 


ERW: 
Pini] 
描述 四 ): 


《上 一 步 @)][ 下 二 步 中 让 [取消 


图 4-69 设置 安全 策略 名 称 


IP 安全 策略 向 导 


安全 通讯 请 求 
指定 这 个 策略 如 问 对 安全 通讯 的 请 求 做 出 反应 。 


i AT E 


《上 一 步 @) 


4-70 激活 默认 响应 规则 


IP 安全 策略 向 导 
默认 响应 规则 身份 验证 方式 
要 添加 多 身份 验证 方式 ， 在 完成 该 向 导 之 后 请 编辑 默认 响应 规则 。 
为 此 安全 规则 设置 初始 身份 验证 方法 : 


C Active Directory 默认 值 Kerberos Y5 协议 ) ©) 
个 使 用 由 此 证 书 烽 发 机 构 (CA) MEMEH C): 


C 此 字符 审 用 来 保护 密 钥 交换 GEASS) C) 


(4-4 F200 >) [取消 


A471 输入 保护 密码 
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(9) 依次 单 击 “下 一 步 ? 按 钮 “完成 "按钮 ,出 现 如 图 4-72 所 示 的 “阻挡 Ping 命令 属性 ” 
对 话 框 。 


阻挡 Ping 命 令 属性 


gig DARIUS 


Tr 安全 规则 [I); 


Tp 第 选 器 列表 | 第 选 器 操作 | 身份 验证 方法 [wee 
回 S> 默认 响应 预先 共享 的 ..， 无 


> 
| 使用 “添加 向 导 ”QW) 


C) 


A 4-72 设置 “阻挡 Ping 命令 属性 ” 


CLO) 单 击 “ 添 加 ”按钮 ,在 出 现 的 “安全 规则 向 导 ” 中 确保 选中 “身份 验证 方法 ”中 的 “此 
字符 串 用 来 保护 密 钥 交换 ”选项 ,同时 在 对 应 的 地 方 输入 前 面 设置 的 密码 ,如 图 4-73 所 示 。 


安全 规则 向 导 


身份 验证 方法 
要 添加 多 身份 验证 方式 ,请 在 完成 P 安全 规则 向 导 之 后 请 编辑 安全 规则 。 


为 此 安全 规则 设置 初始 身份 验证 方法 : 
C Active Directory RUIE (Kerberos Y5 协议 ) @) 
个 使 用 由 此 证 书 颁发 机 构 C) 颁发 的 证 书 C) 


Kt-Fo)F-F0>) (ma) 


A473 身份 验证 方法 


(11) 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-74 所 示 的 “IP 筛选 器 列表 ”。 

(12) 依次 单 击 “ 添 加 ”按钮 “下 一 步 ” 按 钮 ,在 如 图 4-75 所 示 的 全 协议 类 型 中 选择 ICMP. 

(13) 依次 单 击 “ 下 一 步 ” 按 钮 “完成 ”按钮 和 “确定 ”按钮 ,返回 到 “IP 筛选 器 列表 ”, 选 择 
新 建 的 “新 IP 筛选 器 列表 ”, 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 4-76 所 示 的 “筛选 器 操作 ”对 
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安全 规则 向 导 


IP 第 选 器 列表 
请 为 采用 这 个 安全 规则 的 I 通讯 类 型 选择 IP 第 选 器 表 。 


如 果 下 面 没有 符合 您 需要 的 IF 筛选 器 ,请 单 击 “ 添 加 ”来 创建 新 的 。 


IP 第 选 器 列表 C) 

名 称 描述 Fma.. 

[A oe ee 区 该 计算 机 与 任何 其 地 EO)... 
OMA IP 通讯 量 匹配 该 计算 机 到 | 任何 其 地 三 


Ff 一步 中 > (_ Ra) 


图 4-74 IP 筛选 器 列表 


PARAF 


IP 协议 类 型 
部 IP 协议 类 别 。 如 果 类 别 是 TCP 或 UDP， 您 格 同时 指定 源 和 目标 端 


选择 协议 类 型 S) 


《上 一 步 @) 


图 4-75 选择 ICMP 协议 


安全 规则 向 导 PR) 


PSR 
请 为 这 个 安全 规则 选择 第 迁 器 操作 。 


如 果 下 面 的 列表 中 没有 符合 您 需要 的 第 选 器 操作 ， 请 单 击 “添加 ”创建 一 个 新 
的 。 de “ARMS” RARER MESS 


K RA “amas” wW 
描述 EMA 
〇 请 求 安全 mit) 接受 不 安全 的 通讯 ,但 是 


Le] 需要 安全 接受 不 安全 的 通讯 2S... Basie 
〇 许可 允许 不 安全 的 P 包 经 过 。 IRO 


kion (_ ma) 


4-76 “筛选 器 操作 ”对 话 框 
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(14) 选择 “需要 安全 ”选项 ,依次 单 击 “ 下 一 步 ” 按 钮 “完成 ”按钮 和 “关闭 ”按钮 ,返回 到 
控制 台 。 右 击 “ 阻 挡 Ping 命令 ?项 ,执行 “指派 ”命令 ,完成 IP 策略 的 设置 ,如 图 4-77 所 示 。 


T 控制 台 1 - [控制 台 根 结 点 \IP 安全 策略 ， 在 本 地 计算 机 ] 
ff RG) REO SEW KERO BAW Aa 
e» O88 Xf @ Br UG 

CO 控制 台 根 结 点 称 描述 


Z 
Er 安全 第 咯 , 在 本 地 计算 机 。 | 国安 全 服务 器 SE. 对 所 有 r 通讯 总 是 使 
EPE am) 正常 通讯 不 安全 的 )。. 
GQABSS ERED) YHA 通讯 总 是 使 
a 


图 4-77 执行 指派 命令 

(15) 重新 启动 计算 机 , 当 其 他 计算 机 Ping 本 地 计算 机 时 ,会 得 到 本 地 计算 机 发 出 的 
request timed out 错误 提示 ,这 样 黑 客 就 无 法 通过 Ping 命令 来 连接 和 攻击 本 地 计算 机 了 。 

2. 反 扫 描 技术 的 组 成 

扫描 是 网 上 攻击 者 获取 信息 的 最 重要 途径 ,是 攻击 开始 的 前 奏 。 防 范 和 发 现 扫 描 要 靠 
多 种 技术 综合 才能 做 到 。 在 反 扫 描 技 术 领 域 中 常用 的 几 种 网 络 安全 技术 分 别 是 防火 墙 技 
术 、 入 侵 检 测 技术 、 审 计 技 术 和 访问 控制 技术 。 审 计 技 术 和 访问 控制 技术 是 信息 安全 领域 最 
基本 也 是 最 古老 的 防范 技术 ,防火 墙 技术 和 入侵 检测 技术 是 近年 来 提出 的 新 技术 ,现在 已 经 


单 的 反击 功能 ,因此 它们 有 着 举足轻重 的 作用 。 它 们 构成 了 一 个 完整 的 网 络 安全 防护 体系 ， 
所 防范 的 内 容 包 括 各 类 扫描 、 攻 击 在 内 的 全 方位 的 网 络 破坏 活动 。 如 果 仅 仅 是 对 扫描 进行 
防范 ,可 以 采用 系统 信息 欺骗 ,数据 包 监 听 、 端 口 监测 .Honeypot 与 Honeynet 等 方法 。 

1) 防火 墙 技 术 

防火 墙 技术 是 一 种 允许 内 部 网 接 入 外 部 网 络 ,但 同时 又 能 识别 和 抵抗 非 授 权 访 问 的 网 
络 技术 ,是 网 络 控 制 技术 中 的 一 种 。 防 火 墙 的 目的 是 要 在 内 部 、 外 部 两 个 网 络 之 间 建 立 一 个 
安全 控制 点 ,所 有 从 Internet 流入 或 流向 Internet 的 信息 都 经 过 防火 墙 , 并 检查 这 些 信息 ， 
通过 允许 .拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 防 止 不 希望 的 ,未 经 授权 的 通信 进出 被 保 
护 的 内 部 网 络 ,实现 对 进出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 它 是 实现 网 络 安全 策略 
的 一 个 重要 组 成 部 分 。 

2) 入 侵 检测 技术 

人 侵 检 测 是 指 发 现 未 经 授权 非法 使 用 计算 机 系统 的 个 体 ,或 合法 访问 系统 但 滥用 其 权 
限 的 个 体 。 其 目的 是 从 计算 机 系统 和 网 络 的 不 同 关键 点 采集 信息 ,然后 分 析 这 些 信息 以 寻 
找 入 侵 的 迹象 ,针对 外 部 攻击 、 内 部 攻击 和 误 操作 给 系统 提供 安全 保护 。 入 侵 检测 系统 按 其 
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实现 方式 可 以 分 为 基于 主机 的 入侵 检测 系统 和 基于 网 络 的 入侵 检测 系统 ; 按照 信息 的 处 理 
机 制 又 可 以 分 为 分 布 式 和 集中 式 ; 按照 其 人 侵 检 测 模型 的 分 类 可 以 分 为 异常 检测 、 滥 用 检 
测 和 复合 检测 。 

3) 审计 技术 

审计 技术 是 使 用 信息 系统 自动 记录 网 络 中 机 器 的 使 用 时 间 敏感 操作 和 违纪 操作 等 ,为 
系统 进行 事故 原因 查询 .定位 .事故 发 生 后 的 实时 处 理 提 供 详 细 可 靠 的 依据 或 支持 。 它 是 发 
现 攻击 .修补 漏洞 的 主要 手段 。 一 个 安全 系统 中 的 审计 系统 是 对 系统 中 任 一 或 所 有 的 安全 
事件 进行 记录 、 分 析 和 再 现 的 处 理 系 统 。 它 的 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 
系统 的 人 侵 , 并 记录 合法 用 户 的 误 操 作 。 

4) 访问 控制 技术 

访问 控制 是 指 对 主体 访问 客体 的 权限 或 能 力 的 限制 ,包括 限制 进入 物理 区 域 ( 出 入 控 
制 ) 和 限制 使 用 计算 机 系统 资源 ( 存 取 控制 ) ,其 目的 是 保证 网 络 资源 不 被 非法 使 用 和 非法 访 
问 。 访 问 控制 模型 从 20 世纪 70 年 代 开 始 至 今 已 经 经 过 了 数 代 的 更 新 ,其 中 著名 的 有 自主 
访问 控制 模型 (DAC) ,强制 访问 控制 模型 (MAC) 以 及 基于 角色 的 访问 控制 模型 (RBAC) 和 
最 新 的 基于 任务 的 访问 控制 模型 (TBAC) 。 

5) 系统 信息 欺骗 

对 远程 操作 系统 的 识别 可 以 通过 获取 相关 软件 的 旗 标 (banner) 来 判断 。 如 果 修 改 了 这 
些 程序 默认 返回 的 信息 ,就 会 导致 攻击 者 对 系统 构成 做 出 错误 的 判断 ,相应 的 攻击 动作 也 会 
有 一 定 的 偏离 ,从 而 在 一 定 程度 上 保护 了 系统 的 安全 。 

修改 旗 标 的 方法 很 多 ,一 种 是 修改 网 络 服务 的 配置 文件 ,许多 服务 都 在 其 配置 文件 中 提 
供 显 示 版 本 号 的 配置 选项 ; 第 二 种 是 修改 服务 器 的 源 代码 ,然后 重新 编译 ; 第 三 种 是 直接 
修改 软件 的 可 执行 文件 ,这 种 方法 有 一 定 的 破坏 性 。 可 以 使 用 一 些 专门 修改 旗 标 的 工具 进 
行 修改 。 

6) 数据 包 监 听 

数据 包 监 听 的 方法 有 两 类 ,一 类 是 依据 来 自 同一 数据 源 的 发 送 到 目标 主机 的 连续 端口 
的 数据 包 数 量 来 判断 。 但 攻击 者 可 以 修改 扫描 的 间隔 时 间 , 以 较 慢 的 速度 来 扫描 ; 或 者 在 
扫描 的 过 程 中 夹杂 大 量 来 自 虚假 IP 地 址 的 数据 包 , 将 真正 的 扫描 探测 包 混 杂 其 中 ,在 这 样 
的 情况 下 这 种 方法 就 很 容易 被 蒙骗 过 去 。 

数据 包 监 听 的 另 一 类 方法 是 过 滤 数 据 报 文 , 即 抓 取 数据 包 进 行 分 析 。 它 和 防火 墙 的 包 
过 滤 技 术 非 常 相似 ,只 是 约束 范围 要 小 一 些 , 它 仅仅 将 一 些 在 扫描 中 会 出 现 的 特殊 报 文 作为 
匹配 规则 ,一旦 发 现 扫描 活动 , 则 提供 报警 .封锁 IP 发 送 虚 假 信息 等 手段 进行 保护 。 

7) 端口 监测 

端口 监测 的 工具 有 好 多 种 ,最 简单 的 一 种 是 在 某 个 不 常用 的 低 端口 进行 监听 ,如 果 发 现 
有 对 该 端口 的 外 来 连接 请 求 ,就 认为 有 端口 扫描 。 通 常情 况 下 这 些 工具 都 会 对 连接 请 求 的 
来 源 进行 反 向 探测 ,同时 弹出 提示 窗口 告警 。 

第 二 种 是 监听 一 些 知名 端口 ,如 被 保护 主机 若 不 开放 Web 服务 和 FTP 服务 ,就 可 以 将 
Web 服务 默认 的 80 端口 和 FTP 服务 默认 的 21 端口 交 给 端口 监测 工具 来 监听 。 这 样 当 攻 
击 者 对 这 些 知名 端口 进行 探测 时 ,立即 就 可 以 知道 对 方正 在 收集 自己 的 信息 ,这 很 可 能 是 一 
次 攻击 的 开始 。 
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8) Honeypot 与 Honeynet 

Honeypot 和 Honeynet 是 网 络 诱捕 技术 中 的 两 类 ,网 络 诱捕 技术 是 使 人 侵 者 相信 信息 
系统 存在 有 价值 的 .可 利用 的 安全 弱点 ,并 具有 一 些 可 攻击 窃取 的 资源 。 它 能 够 显著 地 增加 
入 侵 者 的 工作 量 、 入 侵 复杂 度 以 及 入 侵 的 不 确定 性 .从 而 使 人 侵 者 不 知道 其 进攻 是 否 奏效 或 
成 功 。 而 且 , 它 允许 防护 者 跟踪 入 侵 者 的 行为 ,在 入 侵 者 之 前 修补 系统 可 能 存在 的 安全 
漏洞 。 

Honeypot 也 称 为 蜜 缸 系统 , 它 是 针对 网 络 攻击 的 诱骗 工具 ,通过 模拟 一 个 或 多 个 易 受 
攻击 的 系统 ,给 攻击 者 提供 一 个 包含 漏洞 并 容易 被 攻破 的 系统 作为 他 们 的 攻击 目标 。 其 应 
用 的 场合 分 为 两 类 : 一 类 是 用 于 保护 正常 的 服务 器 环境 ,其 目的 是 “误导 ”攻击 者 ,减少 组 织 
所 受到 的 各 种 攻击 , 称 为 “产品 型 "Honeypot; 另 一 类 是 用 于 收集 黑客 组 织 信息 ,研究 攻击 
者 的 手法 及 技巧 ,其 目的 是 “研究 "攻击 者 , 称 为 “研究 型 ”Honeypot。 

Honeypot 不 仅 可 以 对 攻击 进行 检测 和 报警 ,由 于 它 不 提供 正常 的 网 络 服务 ,任何 对 蜜 
饶 系 统 的 网 络 访问 都 被 认为 是 攻击 ,所 以 Honeypot 的 另 一 大 优点 就 是 不 会 产生 误 报 和 
漏 报 。 

Honeynet 被 称 为 陷阱 网 络 、 蜜 网 , 它 建立 的 是 一 个 真实 的 网 络 和 主机 环境 ,可 使 用 各 种 
不 同 的 操作 系统 及 设备 ,如 Solaris, Linux, Windows NT Cisco Switch 等 。 所 有 系统 都 是 
标准 的 机 器 ,在 这 些 系统 上 运行 的 都 是 真实 完整 的 操作 系统 及 应 用 程序 , 且 不 同 的 系统 平台 
上 运行 着 不 同 的 服务 ,使 建立 的 网 络 环境 看 上 去 更 加 真实 可 信 。Honeynet 是 一 个 网 络 系 
统 , 而 并 非 某 台 单 一 主机 ,这 个 网 络 系统 隐藏 在 防火 墙 后 面 ,所 有 进出 的 数据 都 受到 关注 、 捕 
获 及 控制 。 这 些 被 捕获 的 数据 同 Honeypot 一 样 被 用 于 研究 和 分 析 入 侵 者 使 用 的 工具 、 方 
法 及 动机 。 

4.3 节 中 的 “冰河 陷阱 ”就 是 一 个 颇具 蜜 钢 特 征 的 程序 , 它 可 以 让 使 用 冰河 的 入 侵 者 被 
受害 者 逮 个 正 着 。 个 人 PC 蜜 钢 系 统 的 实现 可 以 使 用 Defnet Honeypot 或 KFSensor 等 工 
ACH 

【 例 4-10] 使 用 KFSensor 4) i ti 

(1) 双击 kfsens30. exe 文件 进行 安装 ,安装 完毕 重新 启动 ,出现 如 图 4-78 所 示 的 界面 ， 
通过 设置 向 导 进行 蜜 钢 设置 。 


Set Up Wizard 


The Sensor Set Up Wizard will take you 
a number of steps to coi you 

KLIN GE4 ead fon coat car at enn Ee EE 
using the menu 


You might like to read the manual at this 
how KFSensor works and the concepts 


For help on the options in the Set 


Yizard Help 


图 4-78 设置 向 导 
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(2) 单 击 


“下 一 步 ? 按 钮 ,进行 端口 设置 ,如 图 4-79 所 示 。 
Set Up Wizard 一 Port Sets 


Additional port sets 
ii 


2 Linux (services not usually in Windows) 
3 Trojans and worms 


KfSensor can detect intrusions on many many 
and simulate different types of 


As well as the default set of ports these 
may also be 


Wizard Help 


图 4-79 端口 设置 
(3) 单 击 “下 一 步 ” 按 钮 ,该 蜜 镀 设 置 一 个 域名 ,使 其 更 像 一 台 服务 器 ,如 图 4-80 所 示 。 


Set Up Wizard — Domain 


Domain Name: [SMS wT 


This is the domain name used to identify the 
This could be the real domain name of the machine or a 


IE you pick a fictious one, try not to use a real 
somebody 


Wizard Help 


< £-# DJT -AN > 取消 


图 4-80 域名 设置 


(4) 连续 单 击 “ 下 一 步 ” 按 钮 ,完成 蜜 铅 设 置 。 设 置 完成 后 ,运行 KFSensor, 出 现 如 图 4-81 
所 示 的 程序 界面 ,本 机 成 为 一 个 满 是 漏洞 的 蜜 饶 。 


(5) 运行 端口 扫描 工具 Superscan, 单 击 * 开 始 扫描 ?按钮 进行 扫描 ,很 快 就 可 以 得 到 扫 
描 结 果 , 如 图 4-82 所 示 。 


从 扫描 结果 中 可 以 看 到 被 扫描 的 机 器 开放 了 很 多 危险 的 端口 ,并 且 存 在 许多 漏洞 ,当然 
这 些 都 是 KFSensor 模拟 出 来 的 。 


(6) 在 使 用 Superscan 扫描 的 同时 ,KFSensor 发 现 有 人 扫描 ,其 图 标 就 会 变 成 红色 ,这 
时 可 以 打开 KFSensor, 如 图 4-83 所 示 。 


(7) 双击 右 侧 的 日 志 , 里 面 详细 记录 了 扫描 的 手法 ,如 图 4-84 所 示 。 


第 4 章 计算 机 网 络 安全 技术 189 


io Signatures 


EEA 


Qa usa 

Ge us sz 

Qs use 

E 88 Kerberos 

$ uo rors 
iis mm 

@ 135 ms RFC -Er 
E 139 WT Session 
@ 39 ma 
Bas ms 

@ 4s BT swe -E 
E 464 kpasswa 

fH 522 NetMeeting V 
563 mP ssL 

加 ses cs 

8 cæ IDAz ssL 

图 i1025 ms Free 102 


E tre me Renn 190 
n | > 


< mn < | > 


Server: Running Visitors: 0 Events: 0/0 


4-81 KFSensor 程序 界面 


Internet 
KG) RED SEW 收藏 内 TAG Hao LJ 
Qa- O- HAG Px r O BE aLa 


i 地 址 四 ) a xz/HEIN/ 信 息 对 抗 与 网 结 安全 /软件 /ch4/X-Scan-v3. 1-cn/X-Scan-v3 1/1og/127_0_0_1_report. HTML#127_0_0_1_21_tep ~] gra 
ORE- ~| ARR ” IRE ONTE 链接 
a 
主机 地 址 端口 /服务 服务 漏洞 
127.0.0.1 [ftp (21 ep) 
127.0.0.1 [smtp (25/tcp) 
127.0.0.1 [www eoftp) 
Ipop3 (110/tcp) 
jnetbios-ssn (139jtcp) 
~ unknown Gasshcp) “| 
{www (8080jtcp) 
127.0.0.1 [domain (53/tcp) 
127.0.0.1 [https (443/tcp) a 
1 |epmap (135jtcp) | 
127.0.0.1 [ms-sg-s (1433/tep) | 发 现 安全 漏洞 
类 型 ”端口 /服务 安全 漏洞 及 解决 方案 
提示 ‘ftp (21ftcp) |A FTP server is running on this port. 
INESSUS_ID : 10330 
AE ee PR 2 
EN 2 我 的 电脑 


图 4-82 扫描 结果 
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EFSensor - Evaluation Trial 


File View Scenario Signatures Settings Help 


222 GA FY ESA Oe Saez wR A 
A Visitors Start Dura... | P... | Se. Fame Visitor 
2005-8-31 20:53:01... 11.880 FBT Session... localhost 
2005-8-31 20:53:06... 0.000 FBT Nane Se... localhost 
2005-8-31 20:53:06 0.000 FBT Wane Se.. localhost 
2005-8-31 20:52:58... 0. 000 IIS localhost 
2005-8-31 20:52:46. 10. 000 SQL Server localhost 
2005-8-31 20:52:46... 4.016 HTTPS localhost 
2005-8-31 20:52:44... 4.016 DNS localhost 
2005-8-31 20:52:47 0.016 IIS Proxy localhost 
2005-8-31 20:52:47... 0.016 Terminal Se... localhost 
2005-8-31 20:52:45. 0.047 NBT Session. localhost 
2005-8-31 20:52:45. 0.328 POPS localhost 
2005-8-31 20:52:44. 0.047 us localhost 
2005-8-31 20:52:43. 0.344 sute localhost 
2005-8-31 20:52:42. 0.329 FIP Guild localhost 
2005-8-31 20:52:40. 1.109 IIS Proxy localhost 
2005-8-31 20:52:39... 1.860 Terminal Se... localhost 
2005-8-31 20:52:38 2.625 SOL Server localhost 
2005-8-31 20:52:32 FBT Session. localhost 
2005-8-31 20:52:28 FOP3 localhost 
2005-8-31 20:52:26. .. us Localhost 
2005-8-31 20:52:24... sute localhost 
2005-8-31 20:52:22. FIP Guild localhost 
2005-8-31 20:52:34... HTTPS localhost 
2005-8-31 20:52:25 DNS localhost 


: Ruming Visitors: 1 Events: 36/36 


4-83 打开 KFSensor 


‘Summary Details | Signature | Data 
Event 
Sensor ip: | ktsensor 


Start Time: | 2005-8-31 20:53:01 296 


Description: | Idle time out 


Visitor 
127001 


[localhost 


NBT Session Service 


TCP Port: 


Request Data - 18473 Bytes 


NBT:1 Session Request 
Called Name : *SMBSERVER<20 File Server Service» 
Calling Name: CYBERCOP<20 File Server Service» 


NBT:2 SMB: [neg protocol) 
Protocols: 

NTLMOA2 
PC NETWORK PROGRAM 1.0 
MICROSOFT NETWORKS 1.03 
MICROSOFT NETWORKS 3.0 
LANMAN1D 
LM1.2X002 
Samba 


图 4-84 入 侵 日 志 
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4.5 R 探 器 


“ 嗅 探 ?是 一 种 在 网 络 中 常用 的 进行 数据 收集 的 方法 ,执行 这 一 操作 的 软件 就 是 嗅 探 器 。 
可 以 将 嗅 探 器 理解 为 一 个 安装 在 计算 机 上 的 窃听 设备 , 它 可 以 在 网 络 中 截获 任何 数据 ,因此 
经 常 被 用 来 进行 网 络 故障 的 检修 。 

在 一 个 非 交换 式 局 域 网 中 ,数据 是 以 广播 方式 传送 的 。 通 常数 据 被 送 往 网 络 中 的 每 个 
结 点 ,每 个 接收 者 判断 该 数据 的 目标 地 址 与 其 地 址 是 否 相 同 , 如 果 相 同 则 接收 ,不 同 则 忽略 。 
但 是 如 果 接 收 端 不 忽略 该 信息 , 则 可 以 获取 它 。 网 络 监 听 就 是 利用 这 个 原理 实现 的 ,监听 所 
用 的 工具 称 为 Sniffer( 嗅 探 器 )。 

网 络 监听 工具 原本 是 提供 给 网 络 管理 员 的 一 类 管理 工具 ,使 用 这 种 工具 可 以 监视 网 络 
的 状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 ,因而 一 直 受 到 网 络 管理 员 的 青睐 。 另 一 方 
面 , 网 络 监听 也 给 网 络 安全 带 来 了 极 大 的 隐患 ,因为 它 可 以 捕获 报 文 , 而 这 些 报 文中 包含 一 
些 敏感 信息 ,因此 网 络 监听 工具 也 成 了 黑客 使 用 最 多 的 方法 。 但 有 一 个 前 提 条 件 , 那 就 是 监 
听 只 能 是 同一 网 段 的 主机 ,这 里 同一 网 段 是 指 物理 上 的 连接 。 因 为 不 是 同一 网 段 的 数据 包 ， 
在 网 关 就 被 滤 掉 , 传 不 到 该 网 段 来 。 否 则 一 个 Internet 上 的 一 台 主 机 , 便 可 以 监视 整个 
Internet 了 。 

网 络 监听 常常 被 用 来 获取 用 户 的 口令 。 当 前 网 上 的 数据 绝 大 多 数 是 以 明文 形式 传输 
的 ,而 且 口 令 通 常 都 很 短 且 容易 辨认 。 当 口令 被 截获 , 则 可 以 非常 容易 地 登录 另 一 台 主 机 。 


4.5.1 网 络 监听 原理 


以 太 网 是 现在 应 用 最 广泛 的 计算 机 联网 方式 。 以 太 网 协议 的 工作 方式 是 : 将 要 发 送 的 
数据 包 发 往 连 接 在 一 起 的 所 有 主机 ,数据 包 中 包含 着 应 该 接收 数据 包 的 主机 的 正确 地 址 。 
因此 ,只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主机 才能 接收 数据 包 。 但 是 ,当主 机 工作 在 监听 
模式 下 ,无 论 数据 包 中 的 目标 地 址 是 什么 ,主机 都 将 接收 。 

在 Internet 上 ,有 许多 这 样 的 局 域 网 , 几 台 甚至 几 十 台 主 机 通过 一 条 电缆 ,一 个 集线器 
连 在 一 起 。 在 协议 的 高 层 看 来 , 当 同 一 网 络 中 的 两 台 主机 通信 时 , 源 主机 将 写 有 目标 主机 
IP 地 址 的 数据 包 直接 发 向 目标 主机 ,或 者 当 网 络 中 的 一 台 主 机 同 外 界 的 主机 通信 时 , 源 主 
机 将 写 有 目标 主机 IP 地 址 的 数据 包 发 向 网 关 。 要 发 送 的 数据 包 必须 从 TCP/IP 协议 的 IP 
层 交 给 网 络 接 口 , 即 数据 链 路 层 。 网 络 接口 不 能 识别 IP 地 址 ,在 网 络 接 口 部 分 ,由 IP 层 来 
的 带 有 IP 地 址 的 数据 包 又 增加 了 一 部 分 信息 : 以 太 帧 的 帧 头 。 在 帧 头 中 ,有 两 个 域 分 别 为 
只 有 网 络 接口 才能 识别 的 源 主机 和 目的 主机 的 物理 地 址 (MAC 地 址 ) ,这 是 一 个 48 位 的 地 
址 。 这 个 48 位 的 地 址 是 与 IP 地 址 对 应 的 ,也 就 是 说 ,一 个 IP 地 址 ,必然 对 应 一 个 物理 
地 址 。 

在 以 太 网 中 ,填写 了 物理 地 址 的 帧 从 网 络 接口 中 ,也 就 是 从 网 卡 中 发 送出 去 ,传送 到 物 
理 线路 上 ,如 果 局 域 网 是 由 一 条 粗 缆 或 细 线 连接 而 成 , 则 数字 信号 在 电缆 上 传输 ,信号 能 够 
到 达 线 路 上 的 每 一 台 主 机 。 当 使 用 集线器 时 ,发 送出 去 的 信号 到 达 集 线 器 ,由 集线器 再 发 往 
连接 在 集线器 上 的 每 一 条 线路 。 于 是 ,在 物理 线路 上 传输 的 数字 信号 也 能 到 达 连 接 在 集 线 
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器 上 的 每 一 台 主 机 。 

数字 信号 到 达 一 台 主 机 的 网 络 接口 时 ,在 正常 情况 下 ,网卡 读 入 数据 帧 ,进行 检查 ,如 果 
数据 帧 中 携带 的 物理 地 址 是 自己 的 ,或 者 物理 地 址 是 广播 地 址 , 则 将 数据 帧 交 给 上 层 协议 软 
件 , 也 就 是 IP 层 软 件 ,否则 就 将 这 个 帧 丢弃 。 对 于 每 一 个 到 达 网 络 接口 的 数据 帧 ,都 要 进行 
这 个 过 程 。 然 而 ,当主 机 工作 在 监听 模式 下 , 则 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软件 
处 理 。 

要 使 主机 工作 在 监听 模式 下 ,需要 向 网 络 接口 (网 卡 ) 发 送 控制 命令 ,将 其 设置 为 监听 模 
式 。 在 UNIX 系统 中 ,发 送 这 些 命令 需要 超级 用 户 的 权限 。 这 一 点 限制 了 在 UNIX 系统 
中 ,普通 用 户 是 不 能 进行 网 络 监听 的 ,只 有 获得 超级 用 户 权限 ,才能 进行 网 络 监 听 。 但 是 在 
Windows 系统 中 , 则 没有 这 个 限制 。 

嗅 探 器 之 所 以 能 发 挥 作用 ,主要 是 因为 局 域 网 的 特殊 工作 方式 决定 的 。 在 局 域 网 内 少 
不 了 集线器 、 网 卡 这 样 的 网 络 设备 ,计算 机 通过 这 些 设备 进行 通信 时 ,采用 的 是 广播 方式 , 即 
将 需要 发 送 的 信息 发 给 局 域 网 内 的 每 一 台 计 算 机 。 当 网 卡 接收 到 数据 后 首先 会 判断 接收 到 
的 数据 是 否 是 发 送 给 自己 的 ,如 果 是 则 对 其 进行 处 理 ,如 果 不 是 , 则 置之不理 ,就 当 什 么 也 没 
全 样 。 嗅 探 器 把 经 过 当前 计算 机 的 所 有 数据 全 部 接收 下 来 ,然后 根据 关键 字 , 比如 

账号 "“ 密 码 ” 等 敏感 词汇 进行 筛选 , 找 出 有 价值 的 信息 

目前 的 绝 大 多 数 计算 机 网 络 使 用 共享 的 通信 信道 ,通信 信道 的 共享 意味 着 计算 机 有 可 
能 接收 发 向 另 一 台 计 算 机 的 信息 。 另 外 Internet 中 使 用 的 大 部 分 协议 都 是 很 早 设计 的 , 许 
多 协议 的 实现 都 是 基于 一 种 非常 友好 的 ,通信 的 双方 充分 信任 的 基础 之 上 ,因此 网 络 安全 是 
非常 脆弱 的 。 在 通常 的 网 络 环境 下 ,用 户 的 所 有 信息 ,包括 用 户 名 和 口令 信息 都 是 以 明文 方 
式 在 网 上 传输 的 。 因 此 ,黑客 和 网 络 攻击 者 进行 网 络 监听 ,获得 用 户 的 各 种 信息 并 不 是 一 件 
很 困难 的 事 , 只 要 具有 初步 的 网 络 和 TCP/IP 协议 知识 , 便 能 轻易 地 从 监听 到 的 信息 中 提取 
出 感 兴 趣 的 部 分 。 


4.5.2 ”监听 工具 “ 艾 菲 ”网 页 侦探 


监听 工具 可 以 是 硬件 ,也 可 以 是 软件 。 就 目前 而 言 , 品 种 最 多 、 应 用 最 广泛 的 还 是 软件 ， 
绝 大 多 数 管理 员 和 黑客 使 用 的 也 是 软件 类 嗅 探 器 。 

Sniffer 程序 不 计 其 数 , 主 要 分 为 基于 UNIX 系统 和 Windows 系统 两 大 类 。 下 面 以 “页 
菲 ? 网 页 侦探 为 例 , 说 明 其 用 于 监听 局 域 网 上 传输 的 HTTP 数据 的 过 程 : 

(1) 运行 EffeTech HTTP Sniffer. again 4-85 所 示 。 

(2) 执行 Sniffer| Select an adapter 命令 ,出 现 如 图 4-86 所 示 的 对 话 框 。 

(3) 选择 本 机 使 用 的 网 络 适配器 后 , 单 击 OK 按钮 结束 设置 。 

(4) 设置 嗅 探 参 数 ,主要 是 指定 针对 哪些 计算 机 发 送 或 者 接收 的 数据 进行 捕捉 ,以 及 捕 
提 什 么 样 的 数据 ,以 避免 无 关 数 据 的 干扰 。 执 行 Sniffer| Filter 命令 ,出 现 如 图 4-87 所 示 的 
界面 。 

(5) 在 General 中 定义 容纳 嗅 探 数据 的 缓冲 区 大 小 ,如 果 要 监听 的 网 络 中 通信 繁忙 ,这 
个 值 要 设 大 些 ; 在 Content 中 选择 被 监视 的 文件 类 型 ,最 常用 的 是 静态 Web 页 面 和 图 片 ,用 
来 监视 别人 浏览 了 哪些 网 页 ,其 次 是 其 他 文件 ,用 来 监视 别人 下 载 了 哪些 文件 ;Host 中 设 
置 主机 的 范围 ,如 果 有 明确 的 监听 目标 ,应 当选 择 Specify a host IP 并 输入 它 的 IP 地 址 。 
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HttpDetect (EffeTech HTIP Sniffer) - Unregistered Version 加 回回 
File View Sniffer Help 
>» u| REIRU? A 


No. |Time Client (IP:PORT) Server (P : PORT) 


> 


HTTP Request Header HTTP Response Header 


Buffer: 0% URLs: 0 


485 “ 艾 菲 "网 络 侦探 程序 界面 


Sniffer Filter 


Specify buffer size to store captured packets [>5MB. 
<50MB } 


80 is default HTTP port. Specify additional ports (separated 
by space) e.g: 8080 8000 


ly Show host name rather than IP if possible (Default) 


Some web pages or files are nat your sriffing target 
Check what you need. 


Static web pages (/, .html, .him, .xml 
I Images Lipa. .ipea, .9 
Select a Network Adapter [X] L other lass (od AE 


Current Adapter: 
\Device\NPF_{D213BEA7-B70F-417A-8640 


位 Which host is your sniffing target? Any or a specific host. 
[sw | 人 Any hosts no matter their location (Default) 
\Device\NPF_{D2138EA7-B70F 4174.8  Specily a host IP ERT ena no] 


‘Specify the role of the host, client or host? 


Adapter 


e 


c 


图 4-86 选择 网 络 适 配器 图 4-87 设置 嗅 探 参 数 


(6) 执行 Sniffer| Start 命令 开始 监听 ,很 快 就 可 以 看 到 主 界面 中 列 出 监听 到 的 数据 项 
目 。 每 一 个 条 目 代 表 一 个 数据 包 ,数据 包 中 包含 图 片 .文本 等 ,如 图 4-88 所 示 。 

(7) 在 数据 包 中 随便 找 一 个 条 目 并 双击 鼠标 ,弹出 一 个 对 话 框 , 显 示 该 数据 包 的 详细 信 
息 ,如 图 4-89 所 示 。 
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File view Sniffer Help 


is EZR STZIE Beals) 
[no. | 


216,239.37,104 :80 
www.eFFetech.com :80 
www.effetech.com 


Isearch?dient=navcient-auto&googlei 
jimagesfdownioad blue.gif 


jdownloadJApsSetup,exe 
192.168.1.2 :1263  www.effetech.com:80 。 jdownloadjApsSetup.exe 
192.168.1.2 :1264  www.effetech.com:80 。 jdownloadjAps5etup .exe 
ldownloadiApsSetup.exe 


Ready (Buffer: 0% Rts: 0 Packets: 0 A 


A488 监听 到 的 数据 项 目 


Detail [conte Text View | Packets | Commands | 


General Information 
No. 4 TimeStamp: Nov 02, Whether finished: Yes 


Client -> Server: 192. 168. 0. 123:1903 -> 61. 172. 195. 202:80 


Packets List 


a 453526778 350 
202 13:30:10. 49. . 453526778 3887887697 328 1080 


206 13:30: 10.50... 453532410 3887887697 0 1408 
207 13:30: 10. 50. . 453533818 3887887697 0 1408 
208 13:30: 10. 50. 453535226 3887887697 0 1408 
209 13:30: 10. 50. 453536634 3887687697 0 1408 
210 13:30: 10. 50. 453538042 3687867697 0 1408 
230: |53553602 3887687697 0 
3887887697 0 


取消 ERW 
图 4-89 数据 包 的 详细 信息 


(8) 单 击 Content 选项 卡 ,出现 如 图 4-90 所 示 的 对 话 框 , 这 正 是 对 方 用 户 正在 浏览 
页 面 。 


Detail Content |Text View | Packets | Commands | 


WL: 1. 172. 195. 202/auto/upload_img/5/200311/pi c_1067670460. jpe 


Local (C: WINT tenpt1067751010_291458_pi c1067670460. jpe Refresh 
Hm è 


Q) 正在 下 载 文 件 : 口 口 . . .057722286_953231_ApsSetup. exe RE 


您 想 要 打开 文件 还 是 将 它 保存 到 悠 的 计算 机 ? 


© | wh | aw| 


Ae Bins esd: aessa A) 


ee] ae sao 
图 4-90 ”对 方 用 户 正在 浏览 的 页 面 
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4.5.3 网 络 监听 的 检测 和 防范 


网 络 监听 是 很 难 被 发 现 的 。 运 行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 的 信 
息 ,并 没有 主动 的 行动 , 既 不 会 与 其 他 主机 交换 信息 ,也 不 能 修改 在 网 上 传输 的 信号 。 这 一 
切 决 定 了 对 网 络 监听 的 检测 是 非常 困难 的 。 

当 系 统 运行 网 络 监 听 软 件 时 ,系统 因为 负荷 过 重 , 因 此 对 外 界 的 响应 很 慢 。 但 也 不 能 因 
为 一 个 系统 响应 过 慢 而 确定 其 正在 运行 网 络 监听 软件 。 

1. 网 络 监听 的 监测 

以 下 是 在 Windows 系统 下 监听 程序 的 检测 方法 : 

(1) 由 于 Sniffer 程序 运行 时 占用 大 量 资源 ,使 系统 对 外 界 响 应 变 慢 , 使 网 络 掉包 率 比 
较 高 。 如 果 有 人 在 监听 , 则 发 送出 去 的 数据 包 不 可 能 每 次 都 全 部 很 流畅 地 到 达 目 的 地 。 通 
过 一 些 网 络 软件 ,可 以 看 到 网 络 上 数据 包 的 传送 情况 。 例 如 使 用 最 简单 的 Ping 命令 就 能 看 
到 数据 包 丢 失 了 多 少 。 

(2) Sniffer 程序 运行 时 要 处 理 的 数据 量 很 大 ,需要 占用 大 量 的 带宽 。 使 用 某 些 带宽 控 
制 器 可 以 看 到 当前 带宽 的 分 布 情况 。 如 果 某 台 主 机 长 时 间 占 用 较 大 的 带宽 ,那么 它 就 有 可 
能 在 监听 。 

(3) 对 于 怀疑 运行 监听 程序 的 机 器 ,用 正确 的 IP 地 址 和 错误 的 物理 地 址 去 Ping 它 , 运 
行 了 监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ,而 处 于 监听 
状态 的 机 器 能 接收 ,所 以 就 会 响应 。 

(4) 往 网 上 发 大 量 不 存在 的 物理 地 址 的 数据 包 , 由 于 监听 程序 要 处 理 这 些 数据 包 ,将 导 
致 性 能 下 降 。 通 过 比较 该 机 器 前 后 性 能 加 以 判断 。 

(5) 入 侵 者 很 可 能 使 用 的 是 一 个 免费 的 监听 软件 。 在 这 种 情况 下 ,管理 员 就 可 以 检查 
目录 , 找 出 监听 程序 ,但 这 很 困难 而 且 很 费时 间 。 另 外 ,如 果 监 听 程 序 被 换 成 男 一 个 名 字 , 管 
理 员 也 不 可 能 找到 这 个 监听 程序 。 

最 好 的 方法 是 利用 第 三 方 检查 工具 ,如 专业 的 反 监 听 工 具 Anti-Sniffer 和 一 些 免费 工 
具 , 如 CheckSniff, ARPKiller 等 。 

2. 防范 网 络 监听 

防范 网 络 监听 的 方法 包括 进行 合理 的 网 络 分 段 .使 用 交换 式 集线器 .对 敏感 数据 进行 加 
OB OKI VLAN 技术 等 。 

网 络 分 段 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,其 实 它 也 是 保证 网 络 安全 的 一 
项 措施 。 它 的 目的 是 将 非法 用 户 和 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非法 监听 。 
分 段 时 尽量 使 相互 信任 的 机 器 属于 同一 个 网 段 , 使 它们 之 间 不 必 担心 Sniffer 的 存在 ,并 在 
各 个 网 段 之 间 进 行 硬件 屏蔽 。 

当 两 台 机 器 之 间 通 过 共享 式 集线器 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 包 ( 单 播 包 ) 
还 会 被 同一 台 集 线 器 上 的 其 他 用 户 所 监听 。 因 此 ,以 交换 式 集线器 代替 共享 式 集线器 ,使 单 
播 包 仅 在 两 个 结 点 之 间 传 送 , 从 而 防止 非法 监听 。 

对 于 一 些 敏感 的 数据 ,如 用 户 的 ID 和 口令 等 ,可 以 先 加 密 数据 后 再 进行 传输 ,有 专门 针对 
这 种 应 用 的 协议 ,如 SSH(Secure Shell) 。 这 样 ,监听 者 得 到 的 是 乱码 ,使 监听 工具 失去 作用 。 
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4.6 拒绝 服务 攻击 


破坏 一 个 网 络 或 系统 的 运作 往往 比 真 正 取得 它们 的 访问 权限 容易 得 多 ,现在 不 断 出 现 
的 具有 强 破 坏 性 的 种 种 拒绝 服务 (Denial of Service, DoS) 攻 击 就 说 明了 这 一 点 。 拒 绝 服 务 
攻击 是 黑客 常用 的 攻击 方法 ,拒绝 服务 攻击 最 主要 的 目的 是 造成 被 攻击 服务 器 资源 耗 尽 或 
系统 崩溃 而 无 法 提供 服务 。 这 样 的 入侵 对 于 服务 器 来 说 可 能 并 不 会 造成 损害 ,但 可 以 造成 
人 们 对 被 攻击 服务 器 所 提供 服务 的 信任 度 下 降 , 影 响 公司 的 声誉 以 及 用 户 对 网 络 服务 的 使 
用 。 这 类 攻击 主要 是 利用 网 络 协议 的 一 些 薄弱 环节 ,通过 发 送 大 量 无 效 请 求 数据 包 造 成 服 
务 器 进程 无 法 短期 释放 ,大 量 积累 耗 尽 系统 资源 ,使 得 服务 器 无 法 对 正常 的 请 求 进行 响应 ， 
造成 服务 的 瘫痪 。 

f% TCP/IP 之 类 的 网 络 互联 协议 是 按照 在 开放 和 彼此 信任 的 群体 中 使 用 来 设计 的 ,在 
当前 的 现实 环境 中 却 表现 出 内 在 的 缺陷 。 用 户 通过 普通 的 网 络 连 线 ,传送 信息 要 求 服务 器 
予以 确定 ,服务 器 经 确认 后 回复 用 户 , 用 户 被 确认 后 ,就 可 以 登录 服务 器 。“ 拒 绝 服 务 ” 的 攻 
击 方式 就 是 利用 了 服务 器 在 回复 过 程 中 存在 的 资源 占用 缺陷 ,攻击 者 将 众多 要 求 确认 的 信 
息 传送 到 服务 器 ,使 服务 器 里 充斥 着 各 种 无 用 的 信息 ,所 有 的 信息 都 有 需要 回复 的 虚假 地 
址 ,以 至 于 当 服 务 器 试图 回 传 时 , 却 无 法 找到 用 户 。 根 据 协议 的 规定 ,服务 器 相关 进程 会 进 
行 暂时 的 等 候 , 有 时 超过 一 分 钟 ,之 后 才 进行 进程 资源 的 释放 。 由 于 攻击 者 不 断 地 发 送 这 种 
虚假 的 连接 请 求 信息 , 当 进 入 等 待 释放 的 进程 增加 速度 远大 于 系统 释放 进程 的 速度 时 ,就 会 
造成 服务 器 中 待 释放 的 进程 不 断 积累 ,最 终 造成 资源 的 耗 尽 而 导致 服务 器 瘫痪 。 

DoS 攻击 威胁 了 大 范围 的 网 络 服务 , 它 不 仅 造 成 了 服务 的 中 断 , 部 分 攻击 还 会 造成 系统 
的 完全 崩溃 甚至 设备 的 损毁 。 拒 绝 服务 攻击 由 于 不 是 使 用 漏洞 实现 的 ,目前 还 没有 很 好 的 
解决 方案 ,因此 也 就 被 恶意 的 入 侵 者 大 量 地 使 用 ,是 目前 最 具有 危险 性 的 攻击 。 


4.6.1 DoS 攻击 类 型 


DoS 攻击 从 攻击 目的 和 手段 上 主要 分 为 以 下 一 些 类 型 ,它们 以 不 同 的 方式 对 目标 网 络 

1. 带宽 耗 用 DoS 攻击 

带宽 耗 用 DoS 攻击 的 本 质 就 是 攻击 者 消耗 掉 某 个 网 络 的 所 有 可 用 的 带宽 。 为 了 达到 
这 一 目的 ,一 种 方法 是 攻击 者 通过 使 用 更 多 的 带宽 造成 受害 网 络 的 拥塞 ,对 于 拥有 
100Mbps 带宽 网 络 的 攻击 者 来 说 ,对 于 Tl 连接 的 站 点 进行 攻击 可 以 完全 填塞 目标 站 点 的 
网 络 链 路 。 另 一 种 方法 是 攻击 者 通过 征用 多 个 站 点 集中 拥塞 受害 者 的 网 络 连接 来 放大 DoS 
攻击 效果 ,这 样 带宽 受 限 的 攻击 者 就 能 够 轻易 地 汇集 相当 高 的 带宽 ,成 功 地 实现 对 目标 站 点 
的 完全 堵塞 。 

2. 资源 衰竭 DoS 攻击 

资源 衰竭 攻击 与 带宽 耗 用 攻击 的 差异 在 于 前 者 集中 于 系统 资源 而 不 是 网 络 资源 的 消 
耗 。 一 般 来 说 , 它 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系 统 和 系统 进程 总 数 之 类 系统 资源 的 
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消耗 。 攻 击 者 往往 拥有 一 定数 量 系 统 资源 的 合法 访问 权 。 之 后 ,攻击 者 会 滥用 这 种 访问 权 
消耗 额外 的 资源 ,这 样 ,系统 或 合法 用 户 被 剥夺 了 原来 享有 的 资源 ,造成 系统 崩溃 或 可 利用 
资源 耗 尽 。 

3. 编程 缺陷 DoS 攻击 

编程 缺陷 攻击 就 是 利用 应 用 程序 、 操 作 系 统 等 在 处 理 异 常 条 件 时 的 逻辑 错误 实施 的 
DoS 攻击 。 攻 击 者 不 需要 发 送 大 量 的 数据 包 来 进行 攻击 ,而 是 通过 向 目标 系统 发 送 精心 设 
计 的 畸形 分 组 来 导致 服务 的 失效 和 系统 的 崩溃 。 

4. 基于 路 由 的 DoS 攻击 

在 基于 路 由 的 DoS 攻击 中 ,攻击 者 操纵 路 由 表 项 以 拒绝 向 合法 系统 或 网 络 提供 服务 。 
诸如 路 由 信息 协议 和 边界 网 关 协 议 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 的 认证 机 制 ， 
这 就 给 攻击 者 变换 合法 路 径 提供 了 良好 的 前 提 , 往 往 通过 假冒 源 IP 地 址 就 能 创建 DoS 攻 
击 。 这 种 攻击 的 后 果 是 受害 网 络 的 分 组 或 者 经 由 攻击 者 的 网 络 路 由 ,或 者 被 路 由 到 不 存在 
的 黑洞 网 络 上 。 

5. 基于 DNS 的 DoS 攻击 

递归 功能 允许 DNS 服务 器 处 理 不 是 自己 所 服务 区 域 的 解析 请 求 , 当 某 个 DNS 服务 器 
接收 到 一 个 不 是 自己 所 服务 区 域 的 查询 请 求 时 , 它 将 把 该 请 求 间接 传送 给 所 请 求 区 域 的 权 
威 性 DNS 服务 器 。 从 这 个 权威 性 服务 器 接收 到 响应 后 ,最 初 的 DNS 服务 器 再 把 该 响应 发 
回 给 请 求 方 。 攻 击 者 利用 DNS 递归 的 功能 ,产生 虚假 的 高 速 缓存 DNS 信息 ,通过 将 主机 名 
称 映射 到 其 他 的 IP 地 址 或 不 存在 的 IP 地址 上 ,用 户 就 无 法 正确 地 获得 需要 的 服务 ,达到 拒 
绝 服务 的 目的 。 


4.6.2 Dos 攻击 手段 


DoS 攻击 主要 有 以 下 攻击 手段 。 

1. 邮件 炸弹 

邮件 炸弹 是 一 种 最 简单 的 DoS 攻击 , 它 通 过 短 时 间 内 向 某 个 用 户 发 送 大 量 的 电子 邮 
件 , 从 而 消耗 硬盘 空间 ,阻塞 网 络 带 宽 。 

2. SYN HES 

SYN 洪 泛 的 DoS 攻击 是 利用 TCP 连接 的 三 次 握手 过 程 中 的 资源 不 平衡 性 实现 的 。 在 
BB SYN 攻击 时 ,攻击 者 会 发 送 一 个 从 系统 A 到 系统 B 的 SYN 分 组 ,不 过 他 用 一 个 不 存 
在 的 系统 伪装 源 地 址 。 系 统 B 试图 发 送 SYN/ACK 分 组 到 这 个 欺骗 地 址 ,由 于 响应 的 系统 
并 不 存在 ,因此 系统 B 就 无 法 收 到 响应 的 RST 分 组 或 ACK 分 组 ,直到 连接 超时 。 由 于 连 
接 队 列 的 容量 通常 很 小 ,攻击 者 通常 只 需要 10 秒 钟 的 时 间 ,发 送 若 干 SYN 分 组 就 能 够 完全 
禁止 某 个 特定 的 端口 ,造成 相对 应 的 服务 无 法 对 正常 的 请 求 进行 响应 。 

这 种 攻击 非常 具有 破坏 性 ,首先 引发 SYN 洪 泛 只 需要 很 小 的 带宽 ; 其 次 ,由 于 攻击 者 
对 SYN 分 组 的 源 地 址 进行 伪装 ,从 而 使 得 SYN 洪 泛 成 了 隐蔽 的 攻击 ,查找 发 起 者 变 得 非 
常 困难 。 

3. Smurf 攻击 

Smurf 攻击 是 一 种 简单 有 效 的 DoS 攻击 , 它 利 用 ICMP 和 广播 地 址 实现 。 该 攻击 向 一 
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子 网 的 广播 地 址 发 一 个 带 有 特定 请 求 ( 如 ICMP 回应 请 求 ) 的 包 , 并 且 将 源 地 址 伪装 成 想 
ap TAEDA EURENT - 播 包 请 求 而 向 被 攻击 主机 发 包 , 使 该 主机 受 
到 攻击 。 如 向 一 个 网 络 上 的 多 个 系统 发 送 定向 广播 的 Ping 请 求 (Ping 使 用 了 ICMP 协 
WL) ,这 些 系统 接着 对 请 求 做 出 响应 ,造成 了 攻击 数据 的 放大 。Smurf 攻击 通常 需要 至 少 三 
个 角色 : 攻击 者 、 放 大 网 络 和 受害 者 。 攻 击 者 向 放大 网 络 的 广播 地 址 发 送 源 地 址 ,伪造 成 受 
害 者 系统 的 ICMP 回应 请 求 分 组 。 放 大 网 络 中 的 各 个 主机 相继 向 受害 者 系统 发 出 响应 。 如 
果 攻 击 者 给 一 个 拥有 100 个 会 对 广播 Ping 请 求 做 出 响应 的 系统 的 放大 网 络 发 出 ICMP 分 
组 , 它 的 DoS 攻击 效果 就 放大 了 100 信 。 这 样 ,大 量 的 ICMP 分 组 发 送 给 受害 者 系统 ,造成 
网 络 带 宽 的 耗 尽 。 

【 例 4-11】 使 用 HGod 实现 拒绝 服务 攻击 的 演示 。 

HGod 是 一 款 命令 行 下 运行 的 程序 ,命令 为 : 


hgod < Target >< StartPort[ - EndPort]|Port1, Port2,Port3,...> [Option] 


其 中 <Target> 为 要 攻击 的 目标 ,可 以 是 计算 机 名 ,域名 或 者 IP 地 址 ; <StartPort> 
为 要 攻击 的 目标 端口 ,IGMP/ICMP 攻击 可 以 随便 设置 一 个 端口 ,SYN Flood 攻击 可 以 支持 
多 端口 同时 攻击 ; [Option] 为 攻击 参数 选项 。 
A) 执行 “开始 ”| 运行 ”命令 ,在 出 现 的 “运行 "对话 框 中 输入 cmd, 单 击 “ 确 定 ” 按 钮 。 
(2) 在 命令 行 窗口 中 输入 hgod 127. 0. 0. 1 80.4% Enter 键 , 即 对 指定 的 计算 机 进行 
ICMP 攻击 ,如 图 4-91 所 示 。 


©. C:AWINDOWS\s7stea32NVcl d:\hgod 127.0.0.1 80 


Ah 
UC DoS Tool - 
e to http://www.cnhonker.ni 


Start SYN flood ->127.6.0.1:88. Thread:10. 
Ctrl+C to Quit 


=/= 


4-91 使 用 HGod 进行 拒绝 服务 攻击 


(3) 此 时 打开 任务 管理 器 ,发现 CPU 使 用 记录 猛然 增加 到 100%。 在 命令 行 窗口 中 按 
Ctrl+C 组合 键 ,终止 攻击 ,可 以 看 到 CPU 使 用 记录 恢复 到 正常 ,如 图 4-92 所 示 。 

4. DDoS 攻击 

最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 
无 法 得 到 服务 器 的 响应 。 而 DDoS(Distributed Denial of Services ,分 布 式 拒 绝 服务 ) 攻 击 是 
在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 特殊 形式 的 攻击 方式 。 
单一 的 DoS 攻击 一 般 采 用 一 对 一 的 方式 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带 
宽 小 等 各 项 性 能 指标 不 高 时 ,效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ,计算 机 的 处 理 
能 力 迅 速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程度 
加 大 了 。 这 样 分 布 式 的 拒绝 服务 攻击 就 应 运 而 生 , 它 利 用 大 量 的 倪 偶 机 来 发 起 进攻 ,用 比 从 
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S vindows EHE DER 
文件 四 ”选项 @) SEV 关机 QD EHW 


应 用 程序 | 进程 | 性 能 联网 AP 
cry 使 用 cru 使 用 记录 


r RAS 页 面 文件 使 用 记录 


总 数 
句柄 数 


物理 内 存 K) 
7338 BB 
331 
35 


253964 
640716 HMA 
287656 ”未 分 页 


核心 内 存 K) 
总 数 


CPU 使 用 ，2% 提交 更 改 : 253964K / 640716: 
图 4-92 使 用 HGod 进行 拒绝 服务 攻击 时 CPU 使 用 情况 的 变化 


前 更 大 的 规模 来 进攻 受害 者 。 

DDoS 最 早 可 追溯 到 1996 年 初 ,在 中 国 2002 年 开始 频繁 出 现 ,2003 年 已 经 初 具 规模 。 
近 几 年 由 于 宽带 的 普及 ,很 多 网 站 开始 一 利 , 其 中 很 多 非法 网 站 利润 巨大 ,造成 同行 之 间 互 
相 攻 击 ,还 有 一 部 分 人 利用 网 络 攻击 来 敲诈 钱财 。 同 时 Windows 平台 的 漏洞 大 量 被 公布 ， 
流氓 软件 ,病毒 .木马 充斥 网 络 , 稍 有 技术 的 人 很 容易 非法 入 侵 并 控制 大 量 个 人 计算 机 来 发 
起 DDoS 攻击 从 中 谋 利 。 攻 击 已 经 成 为 互联 网 上 的 一 种 最 直接 的 竞争 方式 ,而 且 收 入 非常 
高 ,在 利益 的 驱使 下 ,攻击 已 经 演变 成 非常 完善 的 产业 链 。 通 过 在 大 流量 网 站 的 网 页 里 注入 
病毒 木马 ,可 以 通过 Windows 平台 的 漏洞 感染 浏览 网 站 的 人 ,一 旦 中 了 木马 ,这 台 计 算 机 就 
会 被 后 台 操 作 的 人 控制 ,这 台 计 算 机 也 就 成 了 所 谓 的 肉鸡 。 每 天 都 有 人 专门 收集 肉鸡 ,然后 
以 几 毛 到 几 块 一 只 的 价格 出 售 ,因为 利益 需要 ,攻击 的 人 就 会 购买 ,然后 遥控 这 些 肉鸡 攻击 
服务 器 。 

DDoS 的 工作 原理 如 图 4-93 所 示 ,一 般 来 说 ,黑客 通过 以 下 步骤 进行 DDoS 攻击 。 

1) 搜集 了 解 目 标的 情况 

收集 的 对 象 包括 被 攻击 目标 主机 的 数目 .地 址 情况 ,目标 主机 的 配置 .性 能 ,目标 的 带 
宽 等 。 

对 于 DDoS 攻击 者 来 说 ,攻击 互联 网 上 的 某 个 站 点 的 重点 就 是 确定 到 底 有 多 少 台 主 机 
在 支持 这 个 站 点 ,一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 均衡 技术 提供 同一 个 网 站 的 
WWW 服务 。 如 果 要 进行 DDoS 攻击 的 话 , 要 所 有 这 些 主机 都 竣 掉 才 行 。 在 实际 应 用 中 ， 
一 个 IP 地 址 往往 还 代表 着 数 台 机 器 : 网 站 维护 者 使 用 了 四 层 或 七 层 交换 机 来 做 负载 均衡 ， 
把 对 一 个 IP 地 址 的 访问 以 特定 的 算法 分 配 到 下 属 的 每 个 主机 上 去 。 这 对 于 DDoS 攻击 者 
来 说 情况 就 更 复杂 ,他 面 对 的 任务 可 能 是 让 几 十 台 主 机 的 服务 都 不 正常 。 所 以 ,事先 搜集 情 
报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ,这 关系 到 使 用 多 少 台 倪 儒 机 才能 达到 效果 的 问题 。 

2) i SILA flit BL 

黑客 随机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 互联 网 上 有 漏洞 的 机 器 ,如 程序 溢出 
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Dati RAN 


攻击 做 假 机 


控制 倪 候 机 


攻击 做 仿 机 


攻击 仇 俐 机 


图 4-93 DDoS 攻击 原理 图 


漏洞 .CGI、Unicode、FTP、 数 据 库 漏洞 …… 。 随 后 就 是 尝试 和 侵 了 ,占领 了 一 台 倪 偶 机 后 ， 
他 会 把 DDoS 攻击 用 的 程序 上 传 过 去 。 在 攻击 机 上 ,会 有 一 个 DDoS 的 发 包 程序 ,黑客 利用 
它 向 受害 目标 发 送 恶意 攻击 包 。 

3) 实际 攻击 

经 过 前 两 个 阶段 的 精心 准备 ,黑客 就 开始 瞄准 目标 准备 发 射 了 。 黑 客 登 录 到 作为 控制 
台 的 倪 偶 机 ,向 所 有 的 攻击 机 发 出 命令 ,埋伏 在 攻击 机 中 的 DDoS 攻击 程序 就 会 响应 控制 台 
的 命令 ,一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 , 导 致 它 死 机 或 是 无 法 响应 正常 的 

【 例 4-12] DDoS 攻击 演示 。 & pesid 生成 器 vl. 1 

DDoS 攻击 者 是 一 个 DDoS 攻击 工具 ,在 上 (rere mane): 
网 时 自动 对 事先 设 定好 的 目标 进行 攻击 。 oo | 


软件 分 为 生成 器 (DDoSMaker. exe) 与 DDoS ao 
攻击 者 程序 (DDoSer. exe) 两 部 分 。 软 件 在 下 载 = i 
安装 后 只 有 生成 器 DDoSMaker. exe, 没 有 DDoS || eae — 
攻击 者 程序 ,DDoS 攻击 者 程序 要 通过 生成 器 进 | generan: fize 
行 生成 。 aa 


(1) 运行 生成 器 (DDoSMaker. exe) ,弹出 如 DDos 攻 击 者 程序 保存 为 O: 

图 4-94 所 示 的 运行 界面 。 RS MBRA PF cha\ddos \DDoSer. exe wR | 
(2) 在 “目标 主机 的 域名 或 IP 地 址 "文本 框 关闭 加 

中 输入 要 攻击 主机 的 域名 或 IP 地 址 。 
(3) 在 “端口 ?文本 框 中 输入 要 攻击 的 端口 ， 图 4-94 ”生成 器 界面 
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该 软件 只 能 攻击 基于 TCP 的 服务 。 端 口中 填写 80 就 是 攻击 HTTP 服务 ,21 就 是 攻击 
FTP 服务 ,25 就 是 攻击 SMTP 服务 ,110 就 是 攻击 POP3 服务 ,等 等 。 

(4)“ 并 发 连接 线程 数 "“ 最 大 TCP 连接 数 "的 值 越 大 对 服务 器 的 压力 越 大 ,当然 占用 
本 机 资源 也 越 大 ,一 般 使 用 默认 值 。 

(5)“ 注 册 表 启动 项 键 名 ”是 在 注册 表 里 写 入 的 启动 项 的 键 名 ,“ 服 务 端 程序 文件 名 ”是 
在 Windows 系统 目录 里 的 文件 名 ,当然 是 越 隐蔽 越 好 。 

(6) “DDoS 攻击 者 程序 保存 为 ”中 的 文件 就 是 生成 的 DDoS 攻击 者 程序 ,只 要 运行 了 
DDoS 攻击 者 程序 就 会 立即 开始 攻击 。 

(7) 设置 完成 后 单 击 “ 生 成 ”按钮 ,出 现 如 图 4-95 所 示 的 确认 对 话 框 。 

(8) 单 击 “ 是 ”按钮 ,完成 DDoS 攻击 者 程序 的 生成 ,出 现 如 图 4-96 所 示 的 对 话 框 。 


生成 DDoS 攻 击 者 程序 生成 DDos 攻 击 者 程序 加 | 


QD 体形 定 所 有 配置 均 正确 无 误 吗 ? D DDoS 攻击 者 程序 生成 完毕 。 


4-95 ”确认 对 话 框 4-96 ”完成 生成 DDoS 攻击 者 程序 


DDoS 攻击 者 程序 类 似 于 木马 软件 的 服务 端 程序 ,程序 运行 后 不 会 显示 任何 界面 ,看 上 
去 好 像 没 有 反应 ,其 实 它 已 经 将 自己 复制 到 系统 里 面 了 ,并 且 会 在 每 次 开机 时 自动 运行 。 它 
运行 时 ,唯一 会 做 的 工作 就 是 不 断 地 对 事先 设 定好 的 目标 进行 攻击 。 


4.6.3 DoS 攻击 的 防范 


1. 防御 措施 

(1) 及 早 发 现 系统 存在 的 攻击 漏洞 ,及 时 安装 系统 补丁 。 

(2) 经 常 检查 系统 的 物理 环境 ,禁止 不 必要 的 网 络 服务 。 

(3) 经 常 检测 系统 配置 信息 ,查看 每 天 的 安全 日 志 。 

(4) 利用 网 络 安全 设备 (如 防火 墙 ) 来 加 固 网 络 的 安全 性 ,配置 好 安全 规则 ,过 滤 掉 所 有 
可 能 的 伪造 数据 包 。 

O) 当 发 现 正在 遭受 DoS 攻击 时 ,要 尽 可 能 快 地 追踪 攻击 包 , 及 时 联系 ISP 和 有 关 应 急 
组 织 ,阻挡 从 已 知 攻击 结 点 的 流量 。 

2. 检测 技术 

除了 做 好 上 述 防御 工作 外 ,还 要 有 完善 的 检测 体系 ,才能 做 到 早 发 现 、 早 解决 。 

当 网 络 的 通信 量 突然 急剧 增长 ,超出 平时 的 极限 值 时 ,要 提高 警惕 ; 当 网 站 的 某 一 特定 
服务 总 是 失败 时 ,要 多 加 注意 ; 当 发 现 特大 型 的 ICP 和 UDP 数据 包 通过 时 要 留神 。 通 过 使 
用 DoS 检测 工具 可 以 及 时 检测 到 DoS 攻击 ,如 图 4-97 所 示 的 冰 盾 DDoS 防火 墙 采用 
ActiveDefense 微 内 核 防御 技术 和 基于 生物 基因 的 智能 识别 技术 ,可 以 有 效 防御 各 个 层次 的 
DoS 和 DDoS 攻击 。 


WA 
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$ 冰 盾 DDoS 防 火 培 Y9- 2 Build 90707, 未 注册 


Ce) 冰 盾 DDOS 防 火 墙 


C) 2003-2009 冰 盾 (中国) 科技 
官网 : http://www.bingdun.com 


= 
z= 
= j 专业 抵御 SYN 和 CC 类 DDOS 攻 击 电话 : (010151661195 QQ:2600725 


@ osit 


@ aosa 
@ rraza 
@ cc 攻击 防护 
@ Aenea 


@ asx 
192,168.1.100 


1. apP 卫 驻防 护 
-了 火 增 控 制 一 Ci 接管 理 器 一 一 


to Hefei 
号 动 防火 墙 to Buss | o: feo HA 
1 量 小 化 


4-97 DDoS 防火 墙 


4.7 共享 攻击 


网 络 中 的 计算 机 为 了 彼此 之 间 交 换 数 据 的 方便 ,经 常会 打开 共享 功能 ,将 硬盘 中 的 数据 
提供 给 网 络 中 的 其 他 用 户 使 用 。 共 享 攻击 是 利用 对 方 共享 的 硬盘 进入 对 方 计算 机 ,然后 利 
用 一 些 木马 程序 进一步 控制 对 方 计算 机 。 共 享 是 Windows 中 一 个 经 常 使 用 的 功能 ,网 上 有 
很 多 计算 机 打开 了 共享 功能 ,都 可 以 作为 攻击 的 目标 。 


4.7.1 共享 攻击 的 实现 


要 实现 共享 攻击 ,首先 要 找到 有 共享 的 机 器 ,Shed 集成 了 扫描 器 的 部 分 功能 ,可 以 自动 
寻找 提供 了 硬盘 共享 的 计算 机 ,并 打开 这 些 硬盘 。 下 面 是 使 用 Shed 扫描 共享 机 器 的 过 程 : 
(1) 运行 Shed ,程序 界面 如 图 4-98 所 示 。 


S shed 1.01 http://keir- net 本 机 IP: 12... E) 区 | 


iata Ir [129 .168 .0 .1 


I 搜索 @) | 
结束 IP| 129 .168 . 0 .255| 主机 名 转换 已 ) 
已 探索 共享 资源 k> HERO | RFO 正在 搜索 


可 能 目标 SUE 


4-98 Shed 程序 界面 
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(2) Shed 不 仅 能 发 现 硬盘 ,还 能 发 现 其 他 的 共享 资源 ,如 打印 机 。 单 击 “ 选 项 ”按钮 ,可 
以 进行 扫描 对 象 设置 ,如 图 4-99 所 示 。 


S Shed 1.01 http://keir. net 


ae RACE 
Ev 显示 磁盘 
MV 显示 特殊 设备 (CS, ADMINS $) 


indows NT/2000_ceble/DSL/ joe PRS 


Ra V 显示 打印 机 
Wh v 明示 Ire 
HE V 显示 网 络 设置 
3 了。 显示 未 知 设置 


图 4-99 设置 扫描 对 象 
(3) 设置 完毕 后 单 击 “ 确 定 ” 按 钮 , 回 到 程序 界面 。 在 “起 始 IP” 文 本 框 中 输入 扫描 的 起 


始 IP 地 址 ,在 “结束 IP” 文 本 框 中 输入 扫描 的 终止 IP 地 址 。 如 果 知 道 对 方 计算 机 的 主机 名 


的 话 , 可 以 在 “主机 名 转换 ”按钮 上 方 的 文本 框 中 输入 其 主机 名 并 单 击 “ 主 机 名 转换 ”按钮 ， 
Shed 会 自动 填写 IP 地 址 。 


(4) 单 击 “ 搜 索 ” 按 钮 开始 扫描 ,扫描 结果 如 图 4-100 所 示 。 


S shed 1.01 http://keir.net 本 地 IP: 192.168.0,123 


21) x! 
ata Ir: [192 .168 .0 .1 


ATI 0 255 MEPU [me] 


发 现 的 共享 资源 : > _RO | RAO | mm: 


=) BS 192,168, 0.4 - 


E mstics 
E PRINTERS 


Ea He 
Lape TCS URRAN ] 


re iste ] 


: 0 5 
上 谁 备 就 结 img | 关于 


图 4-100 扫描 结果 
(5) 直接 在 共享 的 硬盘 上 双击 鼠标 就 可 以 打开 对 方 计算 机 上 的 共享 资源 。 
4.7.2 禁用 共享 


图 4-100 中 的 “IPC $ [远程 进程 间 通信 ]? 是 为 了 让 进程 间 通 信 而 开放 的 命名 管道 ,可 以 
通过 验证 用 户 名 和 密码 获得 相应 的 权限 ,在 远程 管理 计算 机 和 查看 计算 机 的 共享 资源 时 使 
用 , 初衷 是 为 了 方便 管理 员 的 管理 。 但 是 ,一 些 别有用心 者 会 利用 IPC$ 查找 用 户 列 表 , 并 


使 用 一 些 字 典 工具 ,对 主机 进行 攻击 。 因 此 ,要 避免 其 他 用 户 浏 览 自己 硬盘 中 的 信息 ,可 以 
通过 禁用 共享 实现 。 
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1. 终止 Server 服务 

在 Windows XP 默认 情况 下 ,硬盘 会 以 C$ 、D$ 等 方式 共享 ,这 是 Windows XP 为 了 
方便 共享 资源 及 管理 员 远 程 访问 而 设置 的 ,如 果 不 想 在 局 域 网 中 与 其 他 用 户 共 享 文件 ,可 以 
通过 终止 Server 服务 来 实现 。 方 法 如 下 : 

(1) 执行 “开始 ”|“ 运 行 ”命令 ,输入 Msconfig 命令 后 按 Enter 键 。 

(2) 在 出 现 的 “系统 配置 实用 程序 ”对 话 框 中 , 单 击 “ 服 务 ” 选 项 卡 , 将 Server 选项 前 的 复 
选 框 清空 ,如 图 4-101 ras. 


此 系统 配置 实用 程序 


[=a | system. rer | WIN_INT| poor. rer] 服务 | 启动 | 


服务 基本 的 制造 商 

HITP SSL Microsoft Corporation 
TIS Admin ation 
IMAPI CD-Burning C. Microsoft Corporation 


Workstation Microsoft Corporation 
TCP/IP NetBIOS Helper Microsoft Corporation 
NetMeeting Remote i 

Distributed Transa. Microsoft Corporation 
Windows Installer Microsoft Corporation 
Network DDE Microsoft Corporation 
Net Logon Microsoft Corporation 
Gl Network Connenti ane 


ERKA Microsoft IRS T) 


(Come) (es 


4-101 终止 Server 服务 


2. 清除 默认 共享 

Windows 2000 系统 在 默认 安装 时 ,会 产生 默认 的 共享 文件 夹 。 一 旦 攻击 者 知道 该 系 
统 的 管理 员 密 码 后 ,可 以 通过 “\\ 工 作 站 名 \ 共 享 名 称 ” 的 方法 打开 系统 指定 的 文件 夹 , 造 成 
安全 隐患 。 将 默认 的 共享 隐患 从 系统 中 清除 的 方法 如 下 : 

A) 执行 “开始 "| 运行 ”命令 ,输入 cmd, 进 入 到 命令 行 状态 。 

(2) 输入 命令 net share, 系 统 将 自动 显示 出 本 系统 中 的 所 有 上 默认 共享 文件 夹 。 

(3) 输入 net share 共享 名 /del 命令 .就 可 以 将 指定 的 共享 文件 夹 删除 ,如 图 4-102 
所 示 。 

(4) 若 想 自 动 将 系统 所 有 的 隐藏 共享 文件 夹 全 部 取消 ,可 以 在 记事 本 中 编写 程序 del. bat, 
如 图 4-103 所 示 。 编 写 完成 后 在 “开始 ”|“ 启 动 ”* 中 建立 该 文件 的 快捷 方式 ,重新 启动 计算 机 
即 可 。 

3. 屏蔽 139.445 端口 

139,445 端口 实现 对 共享 文件 和 打印 机 的 访问 ,因此 ,IPC$ 连接 需要 139 或 445 端口 
的 支持 ,通过 关闭 上 述 端 口 或 使 用 防火 墙 屏蔽 上 述 端口 ,可 以 防止 共享 攻击 。 

4. 设置 复杂 密码 

如 果 必 须 开 启 共 享 服 务 , 则 要 设置 复杂 密码 ,防止 攻击 者 通过 PCS 穷 举 密码 进行 
攻击 。 
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FINDO¥S\system32\cad. exe 


ocuments and Settings \Administrator>net 


C:\Documents and Settings \Administrator>net 


c$ 已 经 册 除 。 


ocuments and Settings\Administrator>net s 


share 


share admin$ /del 


share c$ /del 


图 4- 


P del.bat — 


102 取消 共享 


记事 本 


E 


RAG) HE) 格式 0) SEV 帮助 人 0 


ipc$ /del 


share 
share 
share 
share 


图 4-103 


编写 程序 自动 取消 共 


admin$ /del 
c$ /del 
a$ /del 
e$ /del 


4.8 ARP 欺骗 攻击 


在 局 域 网 中 实际 传输 的 是 “ 帧 ”, 由 里 

台 主 机 进行 直接 通信 ,必须 要 知道 目标 主 
协议 (Address Resolution Protocol, 地 址 
送 送 帧 前 将 目标 IP 地 址 转换 成 目标 MAC 
设备 的 IP 地 址 ,查询 目标 设备 的 MAC H 
ARP 欺骗 攻击 是 针对 ARP 协议 的 
欺骗 的 计算 机 无 法 正常 访问 内 外 网 ,让 网 


主机 的 MAC 地 址 ,目标 M 
解析 协议 ) 获 得 的 。 


也 址 ,以 保证 通信 的 顺利 进行 。 


面 有 目标 主机 的 MAC 地 址 。 一 台 主 机 要 与 另 


AC 地 址 就 是 通过 ARP 


所 谓 “ 地 址 解析 ”就 是 主机 在 发 


地 址 的 过 程 ,ARP 协议 的 基本 功能 就 是 通过 目标 


-种 攻击 技术 ,可 以 造成 内 部 网 络 的 混乱 ,让 某 些 被 
关 无 法 和 客户 端正 常 通信 。 一 般 来 说 ,IP 地 址 的 


冲突 可 以 通过 多 种 方法 和 手段 来 避免 ,而 
会 判断 ARP 缓存 正确 与 否 , 无 法 像 了 P 地 


ARP 协议 工作 在 更 低层 ,隐蔽 性 更 高 ,系统 并 不 
址 冲突 那样 给 出 提示 。 而 且 很 多 黑客 工具 可 以 随 
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时 发 送 ARP 欺骗 数据 包 和 ARP 恢复 数据 包 , 这 样 就 可 以 实现 在 一 台 普 通 计算 机 上 通过 发 
送 ARP 数据 包 的 方法 来 控制 网 络 中 任何 一 台 计 算 机 的 上 网 与 否 ,甚至 还 可 以 直接 对 网 关 
进行 攻击 ,让 所 有 连接 网 络 的 计算 机 都 无 法 正常 上 网 。 


4.8.1 ARP 欺骗 攻击 原理 


当 某 机 器 A 要 向 主机 B 发 送 报 文 ,会 查询 本 地 的 ARP 缓存 表 , 找 到 B 的 IP 地 址 对 应 
的 MAC 地 址 后 ,就 进行 数据 传输 。 如 果 未 找到 , 则 广播 一 个 ARP 请 求 报 文 ,请 求 IP 地 址 
为 了 的 主机 回答 其 物理 地 址 。 网 上 所 有 主机 包括 B 都 收 到 ARP 请 求 , 但 只 有 主机 B 识别 
自己 的 IP 地 址 ,于 是 向 A 主机 发 回 一 个 ARP 响应 报 文 ,其 中 就 包含 有 也 的 MAC 地 址 。A 
接收 到 B 的 应 答 后 ,就 会 更 新 本 地 的 ARP 缓存 ,接着 使 用 这 个 MAC 地 址 发 送 数据 。 因 此 ， 
本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 络 流通 的 基础 ,并 且 这 个 缓存 是 动态 的 。 

ARP 欺骗 攻击 就 是 通过 伪造 IP 地 址 和 MAC 地 址 实现 ARP 欺骗 ,过 程 如 下 。 

(1) 假设 有 这 样 一 个 网 络 ,包含 一 个 集线器 或 交换 机 ,并 连接 了 3 台 机 器 ,依次 是 计算 
机 A,B,C. 

。 A 的 地 址 为 IP: 192.168.1.1 MAC: AA-AA-AA-AA-AA-AA, 

。 B 的 地 址 为 IP: 192. 168. 1. 2 MAC; BB-BB-BB-BB-BB-BB, 

。C 的 地 址 为 IP; 192.168.1.3 MAC; CC-CC-CC-CC-CC-CC。 

(2) 正常 情况 下 ,在 A 计算 机 上 运行 ARP -A .查询 ARP 缓存 表 应 该 出 现 如 下 信息 。 

Interface: 192.168.1.1 on Interface 0x1000003 


Internet Address Physical Address Type 
192.168.1.3 CC- CC- CC - CC- CC- CC dynamic 


(3) 在 计算 机 B 上 运行 ARP 欺骗 程序 ,发 送 ARP 欺骗 包 。 

B 向 A 发 送 一 个 伪造 的 ARP 应 答 ,这 个 应 答 中 的 数据 为 : 发 送 方 IP 地 址 是 192. 168. 1. 3 
(C 的 IP 地 址 ),MAC 地 址 是 DD-DD-DD-DD-DD-DD(C 的 MAC 地 址 本 来 应 该 是 CC-CC- 
CC-CC-CC-CC, 这 里 被 伪造 了 )。 当 A 接收 到 B 伪造 的 ARP 应 答 ,就 会 更 新 本 地 的 ARP 
缓存 。A 不 知道 这 是 从 B 发 送 过 来 的 ,A 这 里 只 有 192. 168. 1. 3(C 的 IP 地 址 ) 和 无 效 的 
DD-DD-DD-DD-DD-DD MAC 地 址 。 

(4) 在 A 计算 机 上 运行 ARP -A 查询 ARP 缓存 信息 ,原来 正确 的 信息 现在 已 经 出 现 了 
错误 。 

Interface: 192.168.1.1 on Interface 0x1000003 


Internet Address Physical Address Type 
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic 


(5) 当 A 计算 机 访问 C 计算 机 (192. 168. 1. 3) 时 ,MAC 地 址 会 被 ARP 协议 错误 地 解 
析 成 DD-DD-DD-DD-DD-DD。 

当局 域 网 中 一 台 机 器 反复 向 其 他 机 器 ,特别 是 向 网 关 , 发 送 这 样 无 效 假冒 的 ARP 应 答 
信息 包 时 ,严重 的 网 络 堵塞 就 会 开始 。 由 于 网 关 MAC 地 址 错误 ,所 以 从 网 络 中 计算 机 发 来 
的 数据 无 法 正常 发 送 到 网 关 ,自然 无 法 正常 上 网 ,这 就 造成 了 无 法 访问 外 网 的 问题 。 另 外 由 
于 很 多 时 候 网 关 还 控制 着 局 域 网 ,这 时 LAN 访问 也 就 出 现 问题 了 。 
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4.8.2 ARP 攻击 防护 


目前 对 于 ARP 攻击 防护 主要 有 两 种 方法 : 绑 定 IP 和 MAC. HE ARP 防护 软件 。 


1. 静态 绑 定 


最 常用 的 方法 就 是 做 IP 和 MAC 的 静态 绑 定 ,在 局 域 网 内 把 主机 和 网 关 都 做 IP 和 


MAC 绑 定 。 


欺骗 是 通过 ARP 的 动态 实时 的 规则 欺骗 内 网 机 器 ,所 以 把 ARP 全 部 设置 为 静态 ,可 


以 解决 对 内 网 计算 机 的 欺骗 ,同时 在 网 关 也 要 进行 
IP 和 MAC 的 静态 绑 定 ,这 样 双 向 绑 定 才 比 较 保 险 。 

IP 和 MAC 地址 静态 绑 定 可 以 通过 命令 “arp -s 
IP MAC 地 址 ”实现 。 如 : arp -s 192. 168. 10.1 AA- 
AA-AA-AA-AA-AA。 

当然 ,对 于 网 络 中 的 每 一 台 主 机 都 做 静态 绑 定 ， 
工作 量 是 非常 大 的 ,并 且 在 计算 机 每 次 重启 后 ,都 必 
须 重 新 再 绑 定 。 

2. 使 用 ARP 防护 软件 

ARP 类 防护 软件 的 工作 原理 是 过 滤 所 有 的 
ARP 数据 包 , 对 每 个 ARP 应 答 进 行 判断 ,只 有 符合 
规则 的 ARP 包 才 会 被 进一步 处 理 , 这 样 ,就 防御 了 
计算 机 被 欺骗 。 同 时 ,对 每 一 个 发 送出 去 的 ARP 应 
答 都 进行 检测 ,只 有 符合 规则 的 ARP 数据 包 才 会 被 


Spg 
S ARP 有 防火 二 
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保护 状态 | 综合 设置 | 历史 记录 | 网 友 交流 


A 您 的 系统 正 通 受 ARP 攻 击 
建议 联系 系统 所 在 网 段 的 网 管 进行 检查 
本 次 攻击 开始 时 间 : 2008-01-01 09:59:33 
本 次 攻击 结束 时 间 ; 2008-01-01 09:59:33 


攻击 源 IF > 192.168.1.101 
本 次 攻击 累计 拦截 次 数 ; 122 


重要 提示 : 
您 的 系统 正在 遭受 ARF 攻 击 ， 请 联系 您 的 系统 所 在 
网 段 的 网 管 进行 检查 。 


本 次 攻击 源 IP ; 192. 168.1. 101 
本 次 攻击 源 IAC ; 00-03-00-30-09-7F 
攻击 源 机 器 名 : MICROSOF-9B69F4 


发 送出 去 ,这 样 就 实现 了 对 发 送 攻击 的 拦截 。 如 
图 4-104 所 示 的 是 360ARP 防火 墙 的 拦截 界面 。 


图 4-104 ARP 防护 软件 拦截 界面 
4.9 ”数据库 攻击 


数据 库 在 许多 企业 中 没有 得 到 恰当 的 安全 保护 ,黑客 利用 非常 简单 的 攻击 ,如 弱 口令 、 
不 严谨 的 配置 .未 打 补 丁 等 已 知 漏洞 ,进入 数据 库 。 


4.9.1 SQL 注入 攻击 


SQL 注入 就 是 利用 程序 员 对 用 户 输入 数据 的 合法 性 检测 不 严 或 不 检测 的 特点 ,故意 从 
客户 端 提交 特殊 的 代码 ,然后 收集 程序 及 服务 器 的 信息 ,从 而 获取 相关 资料 的 一 种 攻击 
行为 。 

1. SQL 注入 攻击 基本 原理 

打开 浏览 器 ,执行 “工具 ”| “Internet 选项 ”|“ 高 级 ”命令 ,将 “显示 友好 HTTP 错误 信 
息 ” 前 面 的 勾 去 掉 , 如 图 4-105 所 示 。 和 否则 ,无 论 服务 器 返回 什么 错误 ,IE 都 只 显示 为 
“HTTP 500 服务 器 错误 ”, 不 能 获得 更 多 的 提示 信息 。 
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Internet 选项 


an | 安全 | 隐私 | 内 容 上 连接 | 程序 | 高 级 | 
设置 6) 


V) 使 用 被 动 FTP (为 防火 墙 和 DSL 调制 解 调 器 兼容 性 ) 
使 用 平 渝 滚动 


使 用 直接 插入 自动 完成 功能 

V) 为 FIP 站 点 启用 文件 夹 视图 

下 载 完 成 后 发 出 通知 

显示 每 个 脚本 错误 的 通知 

显示 友好 的 URL 

允许 陪 机 项 目 按 计划 同步 
允许 页 面 转换 

在 地 址 栏 中 显示 “ 转 到 ”按钮 

重新 使 用 启动 快捷 方式 的 窗口 
自动 检查 Internet Explorer 更 新 
总 是 以 WTF-8 RŽ URL (需要 重启 动 ) 


4-105 ”Internet 选项 设置 


对 于 SQL Server 数据 库 , 如 果 服 务 器 IIS 提示 没 关 闭 ,并 且 SQL Server 返回 错误 提示 
的 话 , 就 可 以 直接 从 出 错 信 息 中 获取 相关 资料 。 

在 浏览 器 中 输入 网 址 http://www. *** .com/show. asp?id=123 and user>0. IRS 4 
将 进行 Select * from 表 名 where 字段 二 123 and user 二 0 这 样 的 查询 ,然后 将 查询 结果 返 
回 给 客户 端 浏览 器 。 

前 面 的 语句 是 正常 的 ,重点 在 and user>0, user 是 SQL Server 的 一 个 内 置 变量 , 它 的 
值 是 当前 连接 的 用 户 名 ,类 型 为 nvarchar。 拿 一 个 nvarchar 的 值 跟 int 的 数 0 比较 ,系统 会 
试图 将 nvarchar 的 值 转 成 int 型 ,在 转换 的 过 程 中 肯定 会 出 错 ,SQL Server 的 出 错 提示 是 : 

错误 类 型 : 

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) 

[Microsoft][ODBC SQL Server Driver][SQL Server] 将 nvarchar ffi 'xyz' 转换 为 数据 类 型 为 int 的 列 

时 发 生 语法 错误 。 

show.asp, 第 47 行 

别有用心 的 人 从 “将 nvarchar {H 'xyz' 转换 为 数据 类 型 为 int 的 列 时 发 生 语 法 错误 ”这 
个 出 错 信息 中 获得 以 下 信息 : xyz 是 变量 user 的 值 ,这 样 ,就 得 到 了 数据 库 的 用 户 名 。 

当然 整个 过 程 是 很 烦琐 的 而 且 要 花费 很 多 的 时 间 ,漏洞 入 侵 的 成 本 很 高 。 如 果 只 能 以 
这 种 手动 方式 进行 SQL 注入 和 人 侵 的 话 ,那么 许多 存在 SQL 注入 漏洞 的 ASP 网 站 就 会 安全 
很 多 。 但 是 如 果 利 用 专门 的 黑客 工具 来 人 侵 的 话 ,情况 就 大 大 不 同 了 。 手 动 方式 进行 SQL 
注 人 人 侵 至 少 需要 半天 或 一 天 乃至 更 多 的 时 间 ,而 利用 专门 的 工具 入 侵 只 需要 几 分 钟 的 时 
间 , 如 图 4-106 所 示 。 

SQL 注入 通过 网 页 对 网 站 数据 库 进行 修改 , 它 能 够 直接 在 数据 库 中 添加 具有 管理 员 权 
限 的 用 户 ,从 而 最 终 获 得 系统 管理 员 权限 。 黑 客 可 以 利用 获得 的 管理 员 权限 任意 获得 网 站 上 
的 文件 或 者 在 网 页 上 加 挂 木马 和 各 种 恶意 程序 ,对 网 站 和 访问 该 网 站 的 用 户 带 来 巨大 危害 。 


第 4 章 计算 机 网 络 安全 技术 209 


i PES v7. 0 BAREA] SE] 
关键 词 :[{ 目 动产 生 } | 超时 o] e a as eps a sat A | > m 
选项 AS [52/220] | 结果 | 


名 称 (D 
日 回 sqrinj 本 组 建议 用 类 似 inurl: asp 形式 的 关键 词 .. 。 A 
Microsoft OLE .. 
Microsoft OLE . 
ir ab_oxner 权 限 的 s9L 注 入 漏洞 ,关键 词 形式 
ig sk 可 限 的 sqL 注 入 漏洞, 关键 词 形式 inurl.. 
Microsoft OLE .. 
Microsoft OLE . 
Microsoft OLE . 
Microsoft OLE .. 
/MewConment FRAME 82006 SP4 SQL 版 注入 漏洞 更 有 效 。 
r Microsoft OLE 
hy Microsoft OLE 


P 


回 
回 
回 
回 
回 
回 
回 
回 
回 
回 
回 
PHPinj 


本 组 直接 将 抓 包 的 数据 贴 到 文件 名 即 可 ， 
RSA BRM » 直接 扫 原 始 URL。 


常用 默认 数据 库 路 径 。 
建议 关键 词 : inurl: Dvbbs 
动易 
Hdb/fcond2 ndb 了 application/x-... ”企业 网 站 模板 
sql. rar / rar! sq] 数 据 库 备份 。 
data asp Aab/, fmhxy/ 第 用 默认 数据 库 路 径 
LeadBES. mdb JDataf appli cation/x-.. 


(a) 挖掘 鸡 
D 啊 D 注 入 工具 Y2. 32 http://www. wrsky. com/ 


加 载 内 容 中 


扫描 注入 点 


© 


SQL 注入 检 训 
AN 
管理 入 口 检测 


n e | 检测 下 = 1 17? 开始 位 置 1 ie: 口 错误 时 停止 


连接 类 型 梁子 OFF REE: @ NSS SEERNE ON E c TAUBER 
= 当前 库 ) sc feo | m| ] smm | 


OEATA http://www. wrsky. con/ 


(b) 啊 D 注 入 
图 4-106 数据 库 入 侵 工 具 
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2. 防范 SQL 注入 攻击 


要 防范 SQL 注入 攻击 ,在 设计 的 时 候 就 要 对 SQL 语句 的 变量 进行 过 滤 处 理 , 把 所 有 客 
户 提交 上 来 的 东西 都 先 检查 一 遍 , 看 看 有 没有 SQL 注入 常用 到 的 关键 字 。SQL 常用 防 注 
入 系统 的 相关 代码 如 下 。 


If Request. Form<>"" Then StopInjection( Request. Form) 
If Request. QueryString<>"" Then StopInjection(Request. QueryString) 
If Request. Cookies <>"" Then StopInjection( Request. Cookies) 
Function StopInjection( values) 
For Each N_Get In values 
If Sec_Form_open = 1 Then 
‘response. write SelfName 
For N_i=0 To UBound(Sec_Form) 
"response. write SelfName 
'response. write Sec_Form(N_i) 
If Instr(LCase(SelfName) ,Sec_Form(N_i))> 0 Then 
Exit Function 
else 
Select_BadChar(values) 
End If 
Next 
Else 
Select_BadChar( values) 
End If 
Next 
End Function 
Function Select_BadChar( values) 
For N_Xh= 0 To UBound(N_Inf) 
If Instr(LCase(values(N_Get) ),N_Inf(N_Xh) )<> 0 Then 
If WriteSql = 1 Then InsertInfo( values) 
N_Alert(alert_info) 
Response. End 
End If 
Next 
End Function 


4.9.2 暴 库 攻击 


SQL 注入 攻击 的 目的 是 要 得 到 数据 库 中 的 用 户 名 、 密 码 等 ,如 果 不 用 注入 就 可 以 得 到 
整个 数据 库 ,不 是 更 好 吗 ? 于 是 暴 库 成 了 一 个 比 注入 更 简单 的 入 侵 手 段 。 


1. 暴 库 攻击 基本 原理 


比较 流行 的 暴 库 法 包括 "“%5c” 暴 库 法 和 conn. asp 暴 库 法 。 

对 于 包含 “asp?id 一 ”地址 的 网 页 ,如 www. *** . com/yddown/view. asp?id 王 3 ,在 打开 
网 页 时 ,把 网 址 中 的 “/” 换 成 “%5c”, 如 www. ***. com/yddown%5cview. asp?id 一 3, 然 后 
提交 ,就 可 以 暴 出 数据 库 的 路 径 。 

“%5c” 实 际 上 是 “\” 的 十 六 进 制 代码 , 即 “\” 的 另 一 种 表示 方法 。 
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在 ASP 中 调用 数据 库 时 ,都 会 用 到 一 个 连接 数据 库 的 文件 conn. asp, 它 会 创建 一 个 数 
据 库 连 接 对 象 , 定 义 要 调用 的 数据 库 路 径 , 例 如 : 


DBPath = Server. MapPath("admin/rds_dbd32rfd213fg. mdb" ) 


连接 数据 库 时 ,Server. MapPath 方法 将 网 站 中 的 相对 路 径 转变 成 物理 上 的 绝对 路 径 。 

当 Server. MapPath 方法 将 相对 路 径 转 为 真实 路 径 时 , 它 实际 是 由 三 部 分 路 径 加 在 一 
起 得 到 的 : 网 页 目前 执行 时 所 在 的 相对 路 径 , 也 就 是 从 网 站 物理 根 目 录 起 的 相对 路 径 , 如 
conn. asp 位 于 根 目 录 的 "/yddown/" 目 录 下 ; 然后 调用 的 数据 库 的 相对 路 径 admin/rds_ 
dbd32rfd213fg. mdb, 这 样 就 得 到 从 根 目 录 起 的 完整 相对 路 径 : "/yddown/admin/rds_ 
dbd32rfd213fg. mdb". 

设置 IIS 时 ,每 一 个 网 站 都 必须 指定 它 在 硬盘 上 的 物理 目录 ,如 网 站 根 目录 所 在 的 物理 
目录 为 "D:\111"。Server. MapPath 方法 通过 把 “网 站 根 目录 的 物理 地 址 十 完整 的 相对 路 
径 ”, 从 而 得 到 真实 的 物理 路 径 。 这样, 数据 库 在 硬盘 上 的 物理 路 径 是 : d:\111\yddown\ 
adminNrds_dbd32rfd213fg. mdb. 

暴 库 的 基本 原理 就 是 当 我 们 提交 www. x*xx. com/yddown% 5cview. asp?id=3 Hf, 
view. asp 调用 conn. asp, 得 到 网 页 相对 路 径 /yddown\ ,再 加 上 "admin/rds_dbd32rfd213fg 
. mdb" ,就 得 到 "/yddownN" 十 admin/rds_dbd32rfd213fg. mdb。 在 IIS 中 ,"/" 和 "\" 代 表 着 
不 同 的 意义 , 遇 到 "\" 时 ,IIS 认为 它 已 到 了 根 目录 所 在 的 物理 路 径 , 不 再 往 上 解析 ,于 是 网 
站 的 完整 相对 路 径 变 成 了 "admin/rds_dbd32rfd213fg. mdb" ,再 加 上 根 目 录 的 物理 路 径 , 得 
到 的 真实 路 径 变 成 :"D:\111\admin\rds_dbd32rfd213fg. mdb" ,而 这 个 路 径 是 不 存在 的 , 数 
据 库 连接 当然 会 失败 ,于 是 IIS 会 报错 ,并 给 出 错误 原因 

Microsoft JET Database Engine 错误 '80004005' 

'D:\111\admin\rds_dbd32rfd213fg. mdb' 不 是 一 个 有 效 的 路 径 。 确 定 路 径 名 称 拼写 是 否 正确 ,以 及 是 

和 否 连 接 到 文件 存放 的 服务 器 。 

/yddown/conn. asp, 行 12 

这 样 ,就 暴 出 了 数据 库 rds_dbd32rfd213fg. mdb 的 路 径 。 下 载 该 数据 库 后 ,通过 对 数据 
库 中 表 的 关键 字段 进行 MDS 破解 ,就 可 以 得 到 用 户 名 和 密码 了 。 

“%5c” 暴 库 法 利用 了 绝对 路 径 出 错 暴 出 数据 库 路 径 , 而 conn. asp 暴 库 法 则 利用 了 相对 
路 径 出 错 暴 出 数据 库 路 径 。 

如 动力 文章 系统 的 conn. asp 位 于 系统 的 inc 目录 下 ,而 很 多 调用 它 的 文件 ,如 User_ 
ChkLogin. asp. E R RIRH R F. XÉ, 当 conn. asp 执行 时 , 它 是 在 系统 根 目录 D:\ 
wwwroot\zyx688\wwwroot\ 下 执行 的 ,因此 ,在 conn. asp 文件 中 调用 数据 库 时 ,考虑 到 执 
行 时 的 目录 路 径 , 数 据 库 的 相对 地 址 写成 如 下 : 

dim db 

db= "database/fp360609.asp" 

这 样 , 当 它 在 系统 根 目 录 下 执行 时 ,数据 库 的 相对 路 径 在 根 目录 下 的 database 目录 内 。 
但 在 直接 请 求 它 时 , 它 工作 的 当前 目录 是 在 根 目 录 下 的 INC 目录 内 ,这 时 ,数据 库 的 相对 路 
径 就 变 成 了 inc/database/fp360609. asp, 多 出 了 inc, 它 当然 出 错 。 
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防范 暴 库 攻击 
暴 库 是 因为 IS 服务 器 会 对 每 个 执行 错误 给 出 详细 说 明 , 并 停止 执行 ,而 TIS 的 默认 设 
置 又 将 错误 信息 返回 给 用 户 。 因 此 ,要 避免 暴 库 , 就 应 改变 IIS 的 默认 设置 ,; es 
给 一 个 出 错 的 页 面 ,如 “处 理 URL 时 服务 器 出 错 。 请 与 系统 管理 员 联 系 .”, 而 不 给 详细 
作为 网 站 管理 者 ,如 果 无 法 对 虚拟 主机 设置 ,只 要 在 可 能 出 错 的 页 面 ,特别 是 在 conn. 
asp 文件 中 ,添加 如 下 语句 : 


On Error Resume Next 


这 样 , 当 出 错时 ,恢复 执行 下 面 的 语句 ,也 就 是 不 理会 出 错 ,这 样 就 不 会 给 出 错误 信 
息 了 。 


4.10 by K K 


互联 网 的 资源 共享 与 开放 模式 ,为 生活 带 来 了 方便 ,但 网 络 安全 问题 也 日 益 突 出 ,使 用 
防火 墙 可 以 有 效 地 防御 大 多 数 来 自 网 络 的 攻击 。 


4.10.1 基本 概念 


防火 墙 的 本 义 是 指 古代 人 们 在 房屋 之 间 修 建 的 一 道 墙 , 这 道 墙 可 以 防止 火灾 发 生 的 时 
候 蔓 延 到 别 的 房屋 。 而 这 里 所 说 的 防火 墙 当然 不 是 指 物理 上 的 防火 墙 ,而 是 指 隔离 在 本 地 
网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 ,是 这 一 类 防范 措施 的 总 称 。 

防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封 锁 机 制 , 内 部 网 络 被 认为 是 安全 的 和 可 以 信 
赖 的 ,而 外 部 网 络 (通常 是 Internet) 被 认为 是 不 安全 的 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防 
止 不 希望 的 .未 经 授权 的 通信 进出 被 保护 的 内 部 网 络 ,通过 边界 控制 强化 内 部 网 络 的 安全 。 
防火 墙 在 网 络 中 的 位 置 如 图 4-107 所 示 。 


Cp = 2 


防火 墙 


图 4-107 防火 墙 在 网 络 中 的 位 置 


防火 墙 通常 是 运行 在 一 台 或 者 多 台 计 算 机 之 上 的 一 组 特别 的 服务 软件 ,用 于 对 网 络 进 
行 防护 和 通信 控制 。 但 是 在 很 多 情况 下 防火 墙 以 专门 的 硬件 形式 出 现 , 这 种 硬件 也 被 称 为 
防火 墙 , 它 是 安装 了 防火 墙 软件 ,并 针对 安全 防护 进行 了 专门 设计 的 网 络 设 备 ,本 质 上 还 是 
软件 在 进行 控制 。 

防火 墙 一 般 安装 在 被 保护 网 络 的 边界 ,要 使 防火 墙 起 到 安全 防护 的 作用 ,必须 做 到 以 下 
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几 点 : 

(1) 所 有 进出 被 保护 网 络 的 通信 必须 通过 防火 墙 。 

(2) 所 有 通过 防火 墙 的 通信 必须 经 过 安全 策略 的 过 滤 或 者 防火 墙 的 授权 。 

(3) 防火 墙 本 身 是 不 可 被 侵入 的 。 

1. 防火 墙 的 目的 和 功能 

使 用 防火 墙 的 目的 包括 以 下 几 个 方面 : 

。 限制 他 人 进入 内 部 网 络 。 

。 过 滤 掉 不 安全 的 服务 和 非法 用 户 。 

。 防止 人 侵 者 进入 内 部 网 络 。 

。 限定 对 特殊 站 点 的 访问 。 

。 监视 局 域 网 的 安全 。 

防火 墙 具 有 的 功能 包括 : 

1) 访问 控制 功能 

这 是 防火 墙 最 基本 也 是 最 重要 的 功能 ,通过 禁止 或 允许 特定 用 户 访问 特定 的 资源 ,保护 
网 络 的 内 部 资源 和 数据 。 禁 止 非 授 权 的 访问 ,识别 哪个 用 户 可 以 访问 何 种 资源 。 

2) 内 容 控制 功能 

根据 数据 内 容 进 行 控 制 , 如 防火 墙 可 以 从 电子 邮件 中 过 滤 掉 垃 圾 邮件 ,可 以 过 滤 掉 内 部 
用 户 访 问 外 部 服务 的 图 片 信息 ,也 可 以 限制 外 部 访问 ,使 它们 只 能 访问 本 地 Web 服务 器 中 
的 一 部 分 信息 。 

3) 全 面 的 日 志 功 能 

完整 地 记录 网 络 访问 情况 ,包括 内 外 网 进出 的 访问 。 记 录 访 问 是 什么 时 候 发 生 的 ,进行 
了 什么 操作 ,以 检查 网 络 访问 情况 。 就 如 银行 的 录像 监视 系统 ,记录 下 整体 的 营业 情况 ,一 
且 有 什么 事 发 生 , 就 可 以 看 录像 , 查 明 事实 。 防 火 墙 的 日 志 系 统 也 有 类 似 的 作用 ,一 旦 网 络 
发 生 了 入 侵 或 者 遭 到 破坏 ,就 可 以 对 日 志 进行 审计 和 查询 。 

4) 集中 管理 功能 

防火 墙 是 一 个 安全 设备 ,针对 不 同 的 网 络 情况 和 安全 需要 ,需要 制定 不 同 的 安全 策略 ， 
然后 在 防火 墙 上 实施 ,使 用 中 还 需要 根据 情况 改变 安全 策略 ,而 且 在 一 个 安全 体系 中 ,防火 
墙 可 能 不 止 一 台 , 所 以 防火 墙 应 该 是 易于 集中 管理 的 ,这 样 管理 员 就 可 以 很 方便 地 实施 安全 
策略 。 

5) 自身 的 安全 和 可 用 性 

防火 墙 要 保证 自身 的 安全 ,不 被 非法 侵入 ,保证 正常 的 工作 。 如 果 防 火 墙 被 侵入 ,防火 
墙 的 安全 策略 被 修改 ,那么 内 部 网 络 就 变 得 不 安全 。 防 火 墙 也 要 保证 可 用 性 ,否则 网 络 就 会 
中 断 , 网 络 连接 就 失去 意义 。 

2. 防火 墙 的 局 限 性 

安装 防火 墙 并 不 能 做 到 绝对 的 安全 , 它 有 许多 不 足 之 处 : 

1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 

例如 ,如 果 允 许 从 受 保护 网 内 部 不 受 限制 地 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 直 
接 的 连接 ,从 而 绕 过 防火 墙 ,造成 一 个 潜在 的 后 门 攻击 渠道 。 
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2) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 

只 能 在 每 台 主机 上 装 反 病 毒 软件 。 因 为 病毒 的 类 型 太 多 ,操作 系统 也 有 多 种 ,不 能 期 户 
防火 墙 去 对 每 一 个 进出 内 部 网 络 的 文件 进行 扫描 , 查 出 潜在 的 病毒 ; 否则 ,防火墙 将 成 为 网 
络 中 最 大 的 瓶颈 。 

3) 防火 墙 不 能 防止 数据 驱动 式 攻击 

有 些 表面 看 起 来 无 害 的 数据 通过 电子 邮件 发 送 或 者 其 他 方式 复制 到 内 部 主机 上 ,一 旦 
被 执行 就 形成 攻击 。 攻 击 可 能 导致 主机 修改 与 安全 相关 的 文件 ,使 得 入 侵 者 很 容易 获得 对 
系统 的 访问 权 。 

4) 防火 墙 不 能 防范 恶意 的 内 部 人 员 侵入 

内 部 人 员 了 解 内 部 网 络 的 结构 ,如 果 他 从 内 部 入 侵 主机 ,或 进行 一 些 破坏 活动 ,因为 该 
通信 没有 通过 防火 墙 ,所 以 防火 墙 无 法 阻止 。 

5) 防火 墙 不 能 防范 不 断 更 新 的 攻击 方式 

防火 墙 制 定 的 安全 策略 是 在 已 知 的 攻击 模式 下 制定 的 ,所 以 对 全 新 的 攻击 方式 缺少 阻 
止 功能 。 防 火 墙 不 能 自动 阻止 全 新 的 侵入 ,以 为 安装 了 防火 墙 就 可 以 高 枕 无 忧 的 思想 是 危 
险 的 。 


4.10.2 防火 墙 技术 


防火 墙 技术 几 乎 与 路 由 器 同时 出 现 ,最 早 的 防火 墙 采用 了 包 过 滤 技 术 , 图 4-108 是 防火 
墙 技 术 的 发 展 历史 。 
动态 包 过 滤 。 自 适应 代理 
代理 
包 过 滤 电路 层 


1980 #19901 2000 
| 


图 4-108 ”防火墙 技 术 的 发 展 简 史 


1989 年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 电路 层 防火 墙 ,同时 
提出 了 应 用 层 防火 墙 ( 代 理 防 火 墙 ) 的 初步 结构 。 

1992 年 ,USC 信息 科学 院 的 BobBraden 开发 出 了 基于 动态 包 过 滤 技 术 的 防火 墙 ,后 来 
演变 为 状态 检测 技术 。1994 年 ,以 色 列 的 CheckPoint 公司 开发 出 了 第 一 个 采用 这 种 技术 
的 商业 化 的 产品 。 

1998 年 ,NAI 公司 推 出 了 一 种 自 适 应 代理 技术 ,并 在 其 产品 Gauntlet Firewall for NT 
中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋 予 了 全 新 的 意义 。 

1. 包 过 滤 技 术 

包 过 滤 技 术 是 防火 墙 在 网 络 层 中 根据 数据 包 中 包头 信息 有 选择 地 实施 允许 通过 或 阻 
断 。 依 据 防火 墙 事先 设 定 的 过 滤 规 则 ,检查 数据 流 中 每 个 数据 包头 部 ,根据 数据 包 的 源 地 
dik. H KJ Hedik, TCP/UDP 源 端 口号 、TCP/UDP 目的 端口 号 及 数据 包头 中 的 各 种 标志 位 等 
因素 来 确定 是 否 允 许 数据 包 通 过 ,其 核心 是 安全 策略 即 过 滤 规 则 的 设计 。 

包 过 滤 防 火 墙 通常 工作 在 网 络 层 ,因此 也 称 为 网 络 层 防火 墙 。 包 过 滤 对 单个 包 实施 控 
制 ,根据 数据 包 内 部 的 源 地 址 .目的 地 址 .协议 类 型 、 源 端口 号 及 目的 端口 号 .各 种 标志 位 以 
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及 ICMP 消息 类 型 等 参数 与 过 滤 规 则 进行 比较 ,判断 数据 是 否 符合 预先 制定 的 安全 策略 ,从 
而 决定 数据 包 的 转发 或 丢弃 。 

包 过 滤 技 术 的 发 展 经 历 了 两 个 阶段 : 静态 包 过 滤 和 动态 包 过 滤 。 

1) 静态 包 过 滤 技 术 

静态 包 过 滤 技 术 是 指 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 确定 其 是 否 与 某 一 条 
包 过 滤 规 则 匹配 ,过 滤 规 则 是 基于 数据 包 的 报头 信息 制定 的 ,通常 也 被 称 之 为 访问 控制 表 。 
静态 包 过 滤 防 火 墙 工作 方式 如 图 4-109 所 示 。 


外 网 主机 GERA 内 网 主机 
外 网 主机 防火 墙 内 网 主机 应 用 层 应 用 层 应 用 层 
应 用 层 应 用 层 [应 用 层 ] 传输 层 传输 层 传输 层 
ZE 传输 导 传输 层 | [| 网络 屋 nis nae » 
网 络 层 网 络 层 网 络 层 链 路 层 链 路 层 链 路 层 
链 路 层 链 路 层 TENER 

图 4-109 静态 包 过 滤 防 火 墙 图 4-110 动态 包 过 滤 防 火 墙 


2) 动态 包 过 滤 技 术 

动态 包 过 滤 技术 采用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 技 术 所 带 来 的 不 
灵活 问题 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需要 
动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 动 态 包 过 滤 工 作 方式 如 图 4-110 所 示 。 

包 过 滤 技 术 作为 防火 墙 的 应 用 有 两 类 : 一 是 路 由 设备 在 完成 路 由 选择 和 数据 转发 之 
外 ,同时 进行 包 过 滤 ,这 是 目前 较 常用 的 方式 ; 二 是 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 启 
动 包 过 滤 功 能 。 

基于 包 过 滤 技 术 的 防火 墙 实现 起 来 比较 简单 ,因此 包 过 滤 技 术 在 防火 墙 上 的 应 用 非常 
广泛 。 由 于 CPU 用 来 处 理 包 过 滤 的 时 间 相 对 很 少 ,而 且 这 种 防护 措施 对 用 户 透 明 , 合 法 用 
户 在 进出 网 络 时 ,根本 感觉 不 到 它 的 存在 ,使 用 起 来 很 方便 。 

但 是 其 缺点 也 是 非常 明显 的 。 首 先 , 在 机 器 中 配置 包 过 滤 规 则 比较 困难 。 其 次 , 当 过 滤 
规则 增加 到 一 定数 量 的 时 候 , 由 于 频繁 的 匹配 工作 会 导致 网 络 性 能 的 直线 下 降 。 最 后 , 包 过 
滤 技 术 无 法 抵御 一 些 特殊 形式 的 攻击 。 

包 过 滤 技 术 由 于 本 身 的 缺陷 性 ,现在 已 经 逐渐 为 其 他 技术 所 取代 。 

2. 应 用 代理 技术 


所 谓 应 用 代理 技术 是 指 在 Web 主机 上 或 在 单独 一 台 计 算 机 上 运行 代理 服务 器 软件 , 监 
测 、 侦 听 来 自 网 络 上 的 信息 ,对 访问 内 部 网 的 数据 起 到 过 滤 作 用 ,从 而 保护 内 网 免 受 破坏 。 

代理 服务 器 作用 在 应 用 层 , 它 用 来 提供 应 用 层 服务 的 控制 ,在 内 部 网 络 向 外 部 网 络 申请 
服务 时 起 到 中 转 作 用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 ,拒绝 外 部 网 络 其 他 结 点 的 直 

具体 地 说 ,代理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 。 防 火 墙 主机 可 以 是 
具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双重 宿主 主机 ,也 可 以 是 一 些 可 以 访问 
Internet 并 被 内 部 主机 访问 的 堡垒 主机 。 这 些 程序 接受 用 户 对 Internet 服务 的 请 求 ( 如 
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FTP, Telnet) ,并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 中 。 

代理 服务 可 以 实现 用 户 认 证 .详细 日 志 、 审 计 跟 踪 和 数据 加 密 等 功能 ,并 实现 对 具体 协 
议 及 应 用 的 过 滤 。 这 种 防火 墙 能 完全 控制 网 络 信息 的 交换 ,控制 会 话 过 程 ,具有 灵活 性 和 安 
全 性 ,但 可 能 影响 网 络 的 性 能 ,对 用 户 不 透明 , 且 对 每 一 种 服务 都 要 设计 一 个 代理 模块 ,建立 
对 应 的 网 关 层 ,实现 起 来 比较 复杂 。 

基于 应 用 代理 技术 的 防火 墙 经 历 了 两 个 发 展 阶段 : 代理 防火 墙 和 自 适应 代理 防火 墙 。 

1) 代理 防火 墙 

第 一 代 代 理 防火 墙 也 叫 应 用 层 网 关 防 火 墙 。 这 种 防火 墙 通过 代理 技术 参与 到 一 个 
TCP 连接 的 全 过 程 。 它 一 般 针对 某 一 特定 的 应 用 而 使 用 特定 的 代理 模块 ,由 用 户 端 的 代理 
客户 和 防火 墙 端的 代理 服务 器 两 部 分 组 成 , 它 不 仅 能 理解 数据 包头 的 信息 ,还 能 理解 应 用 信 
息 内 容 本 身 。 当 代理 服务 器 得 到 一 个 客户 的 连接 请 求 时 ,它们 将 核实 客户 请 求 , 并 使 用 特定 
的 安全 代理 应 用 程序 来 处 理 连 接 请 求 ,将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接收 服 
外 网 主机 防火 墙 内 网 主机 务 器 应 答 ,做 进一步 处 理 后 ,将 答复 交 给 发 出 请 
应 用 层 应 用 层 应 用 层 求 的 最 终 客户 。 代 理 服务 器 在 外 部 网 络 向 内 部 
传输 层 传输 层 传输 层 网 络 申请 服务 时 发 挥 了 中 转 的 作用 。 代 理 防 火 
网 络 层 网 络 层 墙 工作 方式 如 图 4-111 所 示 。 
链 路 层 链 路 层 应 用 网 关 技术 是 建立 在 网 络 应 用 层 上 的 协 

议 过 滤 , 它 针对 特别 的 网 络 应 用 服务 协议 即 数 
据 过 滤 协 议 ,并 且 能 够 对 数据 包 进 行 分 析 并 形 

成 相关 的 报告 。 应 用 网 关 对 某 些 易于 登录 和 控制 所 有 输入 输出 的 通信 环境 给 予 严格 的 控 
制 ,以 防止 有 价值 的 程序 和 数据 被 窃取 。 它 的 另 一 个 功能 是 对 通过 的 信息 进行 记录 ,如 什么 
样 的 用 户 在 什么 时 间 连 接 了 什么 站 点 。 在 实际 工作 中 ,应 用 网 关 一 般 由 专用 工作 站 来 完成 。 

应 用 层 网 关 的 优点 是 它 易 于 记录 并 控制 所 有 的 进出 通信 ,并 对 Internet 的 访问 做 到 内 
容 级 的 过 滤 ,控制 灵活 而 全 面 , 安 全 性 高 。 应 用 级 网 关 具 有 登记 日志、 统计 和 报告 功能 ,有 
很 好 的 审计 功能 ,还 可 以 具有 严格 的 用 户 认证 功能 。 应 用 层 网 关 的 缺点 是 需要 为 每 种 应 用 
写 不 同 的 代码 ,维护 比较 困难 ,另外 就 是 速度 较 慢 。 

2) 自 适 应 代理 防火 墙 

自 适 应 代理 技术 是 将 代理 技术 与 包 过 滤 技 术 相 结合 而 产生 的 一 种 新 技术 , 仍 属于 应 用 
代理 技术 的 一 种 。 它 结合 了 代理 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 
损失 安全 性 的 基础 上 将 代理 防火 墙 的 性 能 提高 了 数 倍 。 

在 自 适应 代理 防火 墙 中 ,初始 的 安全 检查 仍然 发 生 在 应 用 层 , 一 旦 安全 通道 建立 后 , 随 
后 的 数据 包 就 可 重新 定向 到 网 络 层 。 在 安全 性 方面 , 自 适 应 代理 防火 墙 与 标准 代理 防火 墙 
是 完全 一 样 的 ,同时 还 提高 了 处 理 速 度 。 自 适应 


图 4-111 代理 防火 墙 


代理 技术 可 以 根据 用 户 定义 的 安全 规则 ,动态 。 外 由 主机 brii 内 四 主机 
“适应 "传送 中 的 数据 流量 。 当 安全 要 求 较 高 时 ， = 
安全 检查 仍 在 应 用 层 中 进行 ,保证 实现 传统 防火 一 > 
墙 的 最 大 安全 性 ; 而 一 旦 可 信任 身份 得 到 认证 ， mae 


其 后 的 数据 便 可 直接 通过 速度 快 得 多 的 网 络 层 。 
自 适应 代理 防火 墙 工作 方式 如 图 4-112 所 示 。 4112 自 适 应 代理 防火 墙 
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包 过 滤 技术 通过 特定 的 逻辑 判断 来 决定 是 否 人 允许 特定 的 数据 通过 。 其 优点 是 速度 快 、 
实现 方便 。 缺 点 是 审计 功能 差 , 过 滤 规 则 的 设计 存在 矛盾 关系 , 即 如 果 过 滤 规 则 简单 , 则 安 
全 性 差 ; 如 果 过 滤 规 则 复杂 , 则 管理 困难 。 一 旦 判断 条 件 满足 ,防火 墙 内 部 网 络 的 结构 和 运 
行 状态 便 * 暴 露 ?在 外 来 用 户 面前 。 

代理 技术 则 能 进行 安全 控制 和 加 速 访 问 , 有 效 地 实现 防火 墙 内 外 计算 机 系统 的 隔离 , 安 
全 性 好 ,可 以 实现 较 强 的 数据 流 监 控 、 过 滤 、 记 录 和 报告 等 功能 。 其 缺点 是 对 于 每 一 种 应 用 
服务 都 必须 为 其 设计 一 个 代理 模块 来 进行 安全 控制 ,而 每 一 种 网 络 应 用 服务 的 安全 问题 各 
不 相同 ,分 析 困 难 ,因此 实现 也 困难 。 

在 实际 应 用 中 ,防火墙 通 常 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 合 。 大 多 数 防 火 墙 将 
数据 包 过 滤 和 代理 服务 器 结合 起 来 使 用 。 

3. 状态 检测 技术 

状态 检测 技术 是 以 动态 包 过 滤 技 术 为 基础 发 展 起 来 的 。 不 同 于 包 过 滤 和 应 用 代理 技术 
的 基于 规则 的 检测 ,状态 检测 技术 是 基于 连接 状态 的 过 滤 , 它 把 属于 同一 连接 的 所 有 数据 包 
作为 一 个 整体 来 看 待 , 不 仅 检 查 所 有 通信 的 数据 ,还 分 析 先 前 通信 的 状态 。 

状态 检测 技术 采用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 引擎 , 称 为 检测 模块 。 检 
测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 层 实施 
监测 。 它 把 每 个 合法 网 络 连 接 保存 的 信息 (包括 源 地 址 、 目 的 地 址 ,协议 类 型 .协议 相关 信 
息 、 连 接 状态 和 超时 时 间 等 ) 叫 做 状态 ,通过 抽取 部 分 状态 信息 ,动态 地 将 其 保存 起 来 ,作为 
以 后 指定 安全 决策 的 参考 。 

要 实现 状态 检测 ,最 重要 的 是 实现 连接 的 跟踪 功能 。 对 于 单一 连接 的 协议 来 说 相对 比 
较 简 单 , 只 需要 数据 包头 的 信息 就 可 以 进行 跟踪 。 但 对 于 一 些 复杂 协议 ,除了 使 用 一 个 公开 
端口 的 连接 进行 通信 外 ,在 通信 过 程 中 还 会 动态 建立 子 连 接 进行 数据 传输 ,而 子 连接 的 端口 
信息 是 在 主 连 接 中 通过 协商 得 到 的 随机 值 。 因 此 对 于 此 类 协议 ,用 包 过 滤 防 火 墙 就 只 能 打 
开 所 有 端口 才能 允许 通信 ,但 这 会 带 来 很 大 的 安全 隐患 。 对 于 状态 检测 防火 墙 , 则 能 够 进 一 
步 分 析 主 连接 中 的 内 容 信息 ,识别 出 所 协商 的 子 连接 的 端口 ,在 防火 墙 上 将 其 动态 打开 , 连 
接 结 束 时 自动 关闭 ,充分 保证 系统 的 安全 。 

状态 检测 技术 改进 了 包 过 滤 技 术 仅 考虑 进出 网 络 的 数据 包 , 而 不 关心 数据 包 状 态 的 缺 
点 ,在 防火 墙 的 核心 部 分 建立 状态 检测 表 ,并 将 进出 网 络 的 数据 当成 一 个 个 的 会 话 , 利 用 状 
态 表 跟 踪 每 一 个 会 话 的 状态 。 状 态 检测 对 每 一 个 包 的 检查 不 仅 根据 规则 表 , 更 考虑 了 数据 
包 是 否 符 合 会 话 所 处 的 状态 ,因此 状态 检测 技术 为 防火 墙 提供 了 对 传输 层 的 控制 能 力 。 

尽管 状态 检测 防火 墙 显著 增强 了 简单 包 过 滤 防 火 墙 的 安全 ,但 其 安全 性 仍然 无 法 和 应 
用 代理 防火 墙 相 比 。 其 缺点 在 于 状态 检测 防火 墙 仍然 工作 在 网 络 层 和 传输 层 ,无 法 像 代理 
防火 墙 那样 做 到 对 连接 的 直接 接管 和 控制 。 


4.10.3 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 检查 所 有 通过 的 数据 包头 部 的 信息 ,并 按照 管理 员 所 给 定 的 过 滤 规 则 进 
行 过 滤 。 在 配置 数据 包 过 滤 规 则 之 前 ,需要 明确 允许 或 者 拒绝 什么 服务 ,并且 需 要 把 策略 转 
换 成 针对 数据 包 的 过 滤 规 则 。 通 过 制定 数据 包 过 滤 规 则 来 控制 哪些 数据 包 能 够 进入 或 者 流 
出 内 部 网 络 。 
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数据 包 过 滤 在 网 络 中 起 着 重要 的 作用 ,可 以 在 单 点 位 置 为 整个 网 络 提供 安全 保护 。 以 
WWW 服务 为 例 ,如 果 不 想 让 外 部 用 户 访问 内 部 的 WWW 服务 ,只 要 在 包 过 滤 路 由 器 上 加 
上 安全 规则 ,禁止 外 部 对 内 部 WWW 服务 的 访问 , 则 无 论 是 否 所 有 的 内 部 网 络 主机 都 启动 
了 WWW 服务 ,它们 都 将 得 到 保护 ,这 样 做 很 容易 也 很 安全 。 数 据 包 过 滤 对 用 户 是 透明 的 ， 
不 要 求 内 部 网 络 用 户 进行 任何 配置 。 

1, 数据 包 过 滤 的 安全 策略 

一 般 的 包 过 滤 防 火 墙 对 数据 包 的 数据 内 容 不 做 任何 检查 ,而 只 检查 数据 包 的 包头 信息 。 
数据 包 过 滤 的 安全 策略 基于 以 下 几 种 方式 ， 

(1) 数据 包 的 源 地 址 或 目的 地 址 。 

可 以 根据 IP 协议 中 的 IP 源 地 址 和 IP 目的 地 址 来 制定 安全 规则 ,数据 包 过 滤 面 对 的 最 
普遍 的 IP 选项 字段 是 源 地 址 路 由 , 源 地 址 路 由 是 由 数据 包 的 源 地 址 来 指定 到 达 目的 地 的 路 
由 ,而 不 是 让 路 由 器 根据 其 路 由 表 来 决定 向 何 处 发 送 数据 包 。 

(D 数据 包 的 TCP/UDP 源 端 口 或 目的 端口 。 

可 以 根据 TCP 协议 中 的 源 端口 和 目的 端口 来 制定 安全 规则 ,因为 TCP 的 源 端 口 通常 
是 随机 的 ,所 以 通常 不 使 用 源 端口 进行 控制 。 通 过 检查 TCP 标志 字段, 可 以 辨认 这 个 TCP 
数据 包 是 SYN 包 , 还 是 非 SYN 包 。 检 查 单独 的 SYN 标志 ,就 可 以 知道 它 是 TCP 连接 中 三 
次 握手 中 的 第 一 个 请 求 ,如 果 要 禁止 该 连接 ,只 要 禁止 这 个 包 就 可 以 了 。 

也 可 以 根据 UDP 协议 中 的 源 端口 和 目的 端口 来 制定 安全 规则 。 因 为 UDP 的 源 端口 
通常 是 随机 的 ,所 以 通常 不 使 用 源 端 口 进行 控制 。 

(3) 数据 包 的 标志 位 。 

(4) 用 来 传送 数据 包 的 协议 。 

2. 数据 包 过 滤 规 则 

在 配置 数据 包 过 滤 规 则 之 前 ,需要 明确 允许 或 者 拒绝 什么 服务 ,并且 需要 把 策略 转换 成 
针对 数据 包 的 过 滤 规 则 。 

在 数据 包 过 滤 规 则 中 有 两 种 基本 的 安全 策略 : 默认 接受 或 默认 拒绝 。 默 认 接受 是 指 除 
非 明 确 指定 禁止 某 个 数据 包 , 否 则 数据 包 是 可 以 通过 的 。 而 上 默认 拒绝 则 相反 ,除非 明确 指定 
允许 某 个 数据 包 通 过 ,否则 数据 包 是 不 可 以 通过 的 。 从 安全 的 角度 讲 ,默认 拒绝 更 安全 。 

在 制定 了 数据 包 规则 后 ,对 于 每 一 个 数据 包 , 路 由 器 会 从 第 一 条 规则 进行 检查 ,直到 找 
到 一 个 可 以 匹配 它 的 规则 ,然后 根据 规则 来 决定 是 接受 还 是 拒绝 整个 数据 包 ; 如 果 规则 表 
中 没有 匹配 的 规则 , 则 根据 设置 的 安全 策略 进行 处 理 ,如 默认 拒绝 , 则 这 个 数据 包 将 被 拒绝 。 

3. 状态 检测 的 数据 包 过 小 

当 防 火 墙 接收 到 初始 化 TCP 连接 的 SYN 包 时 ,要 对 这 个 带 有 SYN 的 数据 包 进 行 安全 
规则 检查 。 将 该 数据 包 在 安全 规则 里 依次 比较 ,如 果 在 检查 了 所 有 的 规则 后 ,该 数据 包 都 没 
有 被 接受 ,那么 拒绝 该 次 连接 。 如 果 该 数据 包 被 接受 ,那么 本 次 会 话 的 连接 信息 被 添加 到 状 
态 监测 表 , 该 表 位 于 防火 墙 的 状态 检测 模块 中 。 对 于 随后 的 数据 包 , 就 将 包 信息 和 该 状态 监 
测 表 中 所 记录 的 连接 内 容 进行 比较 ,如 果 会 话 是 在 状态 表 内 ,而 且 该 数据 包 状态 正确 ,该 数 
据 包 被 接受 ; 如 果 不 是 会 话 的 一 部 分 ,该 数据 包 被 丢弃 。 

这 种 方式 提高 了 系统 的 性 能 ,因为 不 是 每 一 个 数据 包 都 要 和 安全 规则 比较 。 只 有 在 新 
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的 请 求 连接 的 数据 包 到 来 时 才 和 安全 规则 比较 。 所 有 的 数据 包 与 状态 检测 表 的 比较 都 在 内 
核 模 式 下 进行 ,所 以 执行 速度 很 快 。 

4. 数据 包 过 滤 的 局 限 性 

数据 包 过 滤 的 局 限 性 表现 在 以 下 方面 。 

(1) 不 能 进行 内 容 级 控制 。 

例如 对 于 一 个 Telnet 服务 器 ,不 能 做 到 禁止 userl 登录 而 允许 user2 登录 。 因 为 用 户 
名 是 数据 包 内 容 部 分 的 信息 ,过滤 系 统 不 能 辨认 从 而 无 法 控制 。 又 如 不 能 针对 一 个 FTP 服 
务 器 ,允许 用 户 下 载 某 些 文件 ,而 禁止 用 户 下 载 某 些 文件 。 因 为 文件 名 也 属于 数据 包 内 容 ， 
所 以 不 能 辨认 。 

(2) 数据 包 的 过 滤 规 则 制定 比较 复杂 。 

需要 针对 不 同 的 IP 或 者 服务 制定 很 多 的 安全 规则 ,而 且 过 滤 规 则 会 存在 冲突 或 者 漏 
洞 ,检查 起 来 相对 困难 。 

(3) 有 些 协 议 不 适合 包 过 滤 。 


4.10.4 屏蔽 主机 防火 墙 


实际 使 用 的 防火 墙 系统 一 般 会 采用 多 种 防火 墙 技术 ,如 屏蔽 主机 防火 墙 和 屏蔽 子 网 防 
火 墙 。 

屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 (屏蔽 路 由 器 ) 和 堡垒 主机 (代理 服务 器 ) 组 成 ,堡垒 主 
机 配置 在 内 部 网 络 上 ,路 由 器 则 放置 在 内 部 网 络 和 Internet 之 间 ,通过 路 由 器 把 内 部 网 络 和 
外 部 网 络 隔 开 ,如 图 4-113 所 示 。 
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图 4-113 屏蔽 主机 防火 墙 
它 所 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 高 ,因为 它 实 现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 
用 层 安全 (代理 服务 ) ,入侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 的 安全 
1, 堡垒 主机 
堡垒 主机 得 名 于 古代 战争 中 用 于 防守 的 坚固 的 保 垒 , 它 位 于 内 部 网 络 的 最 外 层 , 像 堡垒 
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一 样 对 内 部 网 络 进行 保护 。 堡 又 主机 可 以 防止 内 部 用 户 直接 访问 Internet, 其 作用 就 像 一 
个 代理 ,过 滤 掉 未 经 授权 的 要 进入 Internet 的 流量 。 

在 防火 墙 体 系 中 ,堡垒 主机 是 Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 上 的 系统 。 
任何 外 部 的 系统 要 访问 内 部 的 系统 或 服务 都 必须 先 连 接 到 这 台 主 机 , 它 是 在 Internet 上 公 
开 的 ,在 网 络 上 最 容易 遭受 非法 入 侵 的 设备 。 所 以 保 艰 主机 要 保持 更 高 等 级 的 主机 安全 , 防 
火 墙 设 计 者 和 管理 人 员 需 要 致力 于 堡垒 主机 的 安全 ,而 且 在 运行 期 间 对 堡垒 主机 的 安全 给 
巴特 别 的 注意 。 

2. 屏蔽 主机 防火 墙 的 原理 和 实现 过 程 

堡垒 主机 位 于 内 部 网 络 上 , 包 过 滤 路 由 器 放置 在 内 部 网 络 和 外 部 网 络 之 间 。 在 路 由 器 
上 设置 相应 的 规则 ,使 得 外 部 系统 只 能 访问 堡垒 主机 。 由 于 内 部 主机 和 堡垒 主机 处 于 同一 
个 网 络 , 内 部 系统 是 否 允 许 直接 访问 外 部 网 络 , 或 者 是 要 求 使 用 堡垒 主机 上 的 代理 服务 来 访 
问 外 部 网 络 完全 由 企业 的 安全 策略 来 决定 。 对 路 由 器 的 过 滤 规 则 进行 配置 ,使 其 只 接收 来 
自 堡垒 主机 的 内 部 数据 包 ,就 可 以 强制 内 部 用 户 使 用 代理 服务 。 


4.10.5 屏蔽 子 网 防火 墙 


屏蔽 子 网 防火 墙 通过 添加 周边 网 络 更 进一步 把 内 部 网 络 和 Internet 隔 开 。 

周边 网 络 是 一 个 被 隔离 的 独立 子 网 ,充当 了 内 部 网 络 和 外 部 网 络 的 缓冲 区 ,在 内 部 网 络 
与 外 部 网 络 之 间 形 成 了 一 个 “隔离 带 ”, 这 就 构成 一 个 所 谓 的 “ 非 军事 区 ”(DeMilitarized 
Zone, DMZ). 

屏蔽 子 网 防火 墙 的 结构 如 图 4-114 所 示 , 它 由 两 个 屏蔽 路 由 器 和 堡垒 主机 组 成 ,每 一 个 
屏蔽 路 由 器 都 连接 到 周边 网 络 ,一 个 位 于 周边 网 络 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 络 与 
Internet 之 间 。 要 入 侵 这 种 体系 结构 的 内 部 网 络 ,非法 入 侵 者 必须 通过 这 两 个 路 由 器 ,即使 非 
法 入 侵 者 侵入 了 堡垒 主机 , 它 仍 将 必须 通过 内 部 路 由 器 ,因此 它 是 最 安全 的 防火 墙 系统 之 一 。 
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图 4-114 BREA AS 


屏蔽 子 网 防火 墙 具 有 以 下 优点 : 
CL) 入 侵 者 必须 突破 三 个 不 同 的 设备 才能 非法 入 侵 由 外 部 路 由 器 、 堡 又 主机 、 内 部 路 由 
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器 保护 的 内 部 网 络 。 

(2) 由 于 外 部 路 由 器 只 能 向 Internet 通告 DMZ 网 络 的 存在 ,Internet 上 的 系统 没有 与 
内 部 网 络 相通 。 这 样 网 络 管理 员 就 可 以 保证 内 部 网 络 是 “不 可 见 ” 的 ,并 且 只 有 在 DMZ 网 
络 上 选 定 的 服务 才 对 Internet 开放 。 

(3) 由 于 内 部 路 由 器 只 向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 网 络 上 的 系统 不 能 直接 
通 往 Internet, 这 样 就 保证 了 内 部 网 络 上 的 用 户 必 须 通过 驻 留 在 堡垒 主机 上 的 代理 服务 才 
能 访问 Internet。 

(4) 由 于 DMZ 网 络 是 一 个 与 内 部 网 络 不 同 的 网 络 ,NAT( 网 络 地 址 变换 ) 可 以 安装 在 
堡垒 主机 上 ,从 而 避免 在 内 部 网 络 上 重新 编 址 或 重新 划分 子 网 。 


4.10.6 防火 墙 的 发 展 趋势 


防火 墙 是 信息 安全 领域 最 成 熟 的 产品 之 一 ,为 了 满足 日 益 提高 的 安全 需求 ,防火 墙 也 在 
不 断 发 展 ,其 主要 发 展 趋势 如 下 。 

1. 模式 转变 

传统 的 防火 墙 通常 都 设置 在 网 络 的 边界 位 置 ,不 管 是 内 网 与 外 网 的 边界 ,还 是 内 网 中 的 
不 同 子 网 的 边界 ,都 以 数据 流 进行 分 隔 , 形 成 安全 管理 区 域 。 但 恶意 攻击 的 发 起 不 仅仅 来 自 
于 外 网 ,内 网 也 同样 存在 着 很 多 安全 隐患 ,对 于 这 种 问题 ,边界 式 防火 墙 处 理 起 来 是 比较 困 
难 的 。 所 以 现在 越 来 越 多 的 防火 墙 产品 以 分 布 式 为 体系 进行 设计 ,以 网 络 结 点 为 保护 对 象 ， 
可 以 最 大 限度 地 覆盖 需要 保护 的 对 象 , 大 大 提升 安全 防护 强度 。 这 不 仅仅 是 单纯 的 产品 形 
式 的 变化 ,还 象征 着 防火 墙 产 品 防御 理念 的 升华 。 

防火 墙 的 几 种 基本 类 型 各 有 优点 ,很 多 厂商 将 这 些 方式 结合 起 来 ,以 弥补 单纯 一 种 方式 
带 来 的 漏洞 和 不 足 。 比 较 简 单 的 方式 就 是 既 针 对 传输 层面 的 数据 包 特 性 进行 过 滤 ,同时 也 
针对 应 用 层 的 规则 进行 过 滤 ,这 种 综合 性 的 过 滤 设 计 可 以 充分 挖掘 防火 墙 核心 功能 的 能 力 ， 
是 在 自身 基础 之 上 进行 再 发 展 的 最 有 效 途径 之 一 。 目 前 较为 先进 的 过 滤 方 式 是 带 有 状态 检 
测 功能 的 数据 包 过 滤 ,已 经 成 为 现 有 防火 墙 产 品 的 一 种 主流 检测 模式 。 

目前 ,防火 墙 的 信息 记录 功能 日 益 完 善 ,通过 防火 墙 的 日 志 系统 ,可 以 方便 地 追踪 过 去 
网 络 中 发 生 的 事件 ,还 可 以 完成 与 审计 系统 的 联动 ,具备 足够 的 验证 能 力 ,以 保证 在 调查 取 
证 过 程 中 采集 的 证 据 符 合法 律 要 求 。 

2. 功能 扩展 

现在 的 防火 墙 产 品 已 经 呈现 出 集成 多 种 功能 的 设计 趋势 ,包括 VPN, AAA, PKI, IPSec 
等 附加 功能 ,甚至 防 病毒 .人 侵 检 测 这 样 的 主流 功能 ,都 被 集成 到 防火 墙 产 品 中 了 。 防 火 墙 
已 经 逐渐 向 IPS(C 入 侵 防 御 系 统 ) 的 产品 转化 ,很 多 时 候 已 经 无 法 分 辨 这 样 的 产品 到 底 是 以 
防火 墙 为 主 ,还 是 以 其 他 某 个 功能 为 主 了 。 有 些 防火 墙 集成 了 防 病毒 功能 ,这 样 的 设计 会 对 
管理 性 能 带 来 不 少 提升 ,但 同时 也 对 防火 墙 产 品 的 另外 两 个 重要 因素 ,性 能 和 自身 的 安全 问 
题 ,产生 影响 。 

防火 墙 的 管理 功能 一 直 在 迅猛 发 展 ,并 且 不 断 地 提供 一 些 方 便 好 用 的 功能 给 管理 员 , 这 
种 趋势 仍 将 继续 ,更 多 新 颖 实效 的 管理 功能 会 不 断 地 涌现 出 来 。 当 防火 墙 的 规则 被 变更 或 
类 似 的 被 预先 定义 的 管理 事件 发 生 之 后 ,报警 行为 会 以 多 种 途径 发 送 至 管理 员 ,包括 即时 的 
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短信 或 移动 电话 拨 叫 功能 ,以 确保 安全 响应 lle ti 。 将 来 ,通过 类 似 手 机 、 
PDA 这 类 移动 处 理 设备 也 可 以 方便 地 对 防火 墙 进 行 管理 ,当然 ， ep ee 
So eee em iy 

3. 性 能 提高 

由 于 功能 的 扩展 、 应 用 的 日 益 丰 富 ,流量 的 日 益 复 杂 , 未 来 的 防火 墙 产品 会 呈现 出 更 强 
的 处 理性 能 要 求 , 所 以 ,诸如 并 行 处 理 技术 等 经 济 实 用 的 性 能 提升 手段 将 越 来 越 多 地 应 用 在 
hee yt 上 。 相 对 来 说 ,单纯 的 流量 过 滤 性 能 是 比较 容易 处 理 的 问题 ,而 与 应 用 层 涉 

紧密 ,性 能 提高 所 需要 面 对 的 情况 就 会 越 复杂 。 在 大 型 应 用 环境 中 ,防火 墙 的 规则 库 至 

pipe 而 随 着 过 滤 的 应 用 种 类 的 提高 ,规则 数量 会 以 几何 级 数 的 程度 上 升 ,这 是 
对 防火 墙 负荷 的 考验 。 

除了 硬件 因素 之 外 ,规则 处 理 的 方式 及 算法 也 会 对 防火 墙 性 能 造成 很 明显 的 影响 ,所 以 
在 防火 墙 的 软件 部 分 也 会 融入 更 多 先进 的 设计 技术 ,并 衍生 出 更 多 的 专用 平台 技术 ,以 缓解 
防火 墙 的 性 能 要 求 。 


4.10.7 使 用 天 网 防火 墙 保护 终端 网 络 安全 


天 网 防火 墙 个 人 版 是 由 天 网 安全 实验 室 制作 的 给 个 人 计算 机 使 用 的 网 络 安全 程序 , 它 
根据 系统 管理 者 设 定 的 安全 规则 把 守 网 络 ,提供 强大 的 访问 控制 .信息 过 滤 等 功能 ,抵挡 网 
络 人 侵 和 攻击 ,防止 信息 泄露 。 

天 网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 设置 不 同 的 安 
全 方案 ,其 界面 清晰 易 懂 ,适合 个 人 使 用 ,如 图 4-115 所 示 。 


应 用 程序 网 络 使 用 情况 


4-115 天 网 防火 墙 界面 


防火 墙 启 动 后 , 单 击 界面 中 间 的 应 用 程序 网 络 使 用 情况 按钮 ,如 果 计 算 机 中 藏 有 木马 ， 
就 可 以 e 如 图 4-116 所 示 , 在 列表 中 发 现 一 个 陌生 的 程序 r_server. exe 在 监听 
4899 端口 ,很 有 可 能 是 木马 在 等 待 指 令 ,可 以 马上 调用 木马 清理 工具 对 其 进行 检查 。 

在 默认 的 规则 中 ,天 网 防火 墙 能 实现 以 下 功能 : 

。 防止 外 部 计算 机 探测 到 本 机 的 IP 地 址 并 进一步 窃取 账号 和 密码 。 

。 防止 外 来 的 蓝屏 攻击 造成 Windows 系统 崩溃 以 至 死机 。 

。 防止 用 户 的 个 人 隐秘 信息 泄露 。 

。 防止 黑客 利用 冰河 等 木马 软件 进行 攻击 。 

。 形成 一 堵 坚 固 的 保护 层 , 把 所 有 来 历 不 明 的 访问 挡 在 层 外 ,以 保护 用 户 的 系统 安全 。 

根据 需要 ,用 户 还 可 以 自行 定义 应 用 程序 规则 和 IP 规则 。 

1. 应 用 程序 规则 设置 

可 以 根据 需要 对 应 用 程序 访问 Internet 进行 限制 ,方法 如 下 : 


Pa 
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d@ 在 4899 端口 监听 
[7] Task Scheduler Engine 
Microsoft Telnet Client 


由 

由 

项 Ceerverexe 版 本 : 
路 径 : C: \WINNT\syst em32\r_server. exe 


图 4-116 检查 应 用 程序 网 络 使 用 情况 
(1) 单 击 左 侧 的 应 用 程序 规则 按钮 , 列 出 能 够 访问 Internet 的 应 用 程序 ,如 图 4-117 所 示 。 


应 用 程序 访问 网 络 权 限 设置 [a] 
Microsoft Telnet Client 版 本 :5.00.99203 记 
路 径 :C: \WINNT\system32\telnet. exe 


QQ 中 文 网 络 寻 呼 机 版 本 :1.0.0.6 Y EF] 
| 路径 :D:\Program Files\Tencent\QQ2000b. exe 


ntemet Explorer 版 本 : 6.00.2600。 7 


路 征 :C:\Programn Files\Internet 
Explorer\IEXPLORE. EXE 


图 4-117 应 用 程序 规则 设置 


(2) 单 击 程序 名 称 后 面 的 “选项 ”按钮 ,在 “应 用 程序 规则 高 级 设置 "对话 框 中 可 以 控制 
某 些 程序 对 TCP 或 UDP 的 访问 权限 以 及 可 访问 的 端口 等 ,如 图 4-118 所 示 。 

当 一 个 没有 被 列 在 “应 用 程序 规则 ?对 话 框 中 的 程序 试图 访问 网 络 时 ,天 网 会 发 出 如 
图 4-119 所 示 的 “警告 信息 ”。 

应 当 特 别 注意 "地址 ”和 “路 径 ” 两 个 条 目 ,如果 感 到 很 陌生 就 要 提高 警惕 。 特 别 是 启动 
了 一 个 不 需要 上 网 的 程序 也 弹出 这 样 的 警告 时 要 特别 小 心 ,因为 有 可 能 它 正在 偷偷 地 收集 
信息 。 

2. JIP 规则 设置 

天 网 防火 墙 默认 的 安全 规则 是 一 套 适 合 在 普通 情况 下 保护 个 人 用 户 网 络 安全 的 规则 
集合 ,如 果 需 要 ,可 以 单 击 左 侧 中 间 的 “ 自 定义 IP 规则 ?按钮 进行 一 些 比较 复杂 的 设置 ,如 
图 4-120 所 示 。 
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W 应 用 程序 规则 高 级 设置 


F Internet Explorer 对 网 络 进行 操作 时 ， 要 符合 下 面 规 


该 应 用 程序 可 以 

RE TCP YVER 

I 提供 TCP 协议 服务 

m 通过 UDP 协议 发 送信 息 
m 提供 UDP 协议 服务 

不 符合 上 面条 件 时 

em 问 

C RERE 


网 络 信息 
操作 ， 连 接 网 络 
可 访问 端口 its 187.0.0.1 
G 任何 端口 端口 : 8 
个 端 吕 范围 
BPR: pea ees Client 
C 端口 列表 Bas 


图 4-118 


通过 IP 规则 来 设 定 防 火 墙 对 IP 的 检查 和 过 滤 方 式 ， 
的 。 其 中 比较 重要 的 是 要 选择 “防御 ICMP 攻击 ”、 
击 ,不 要 选中 “允许 局 域 网 的 机 器 使 用 我 的 共享 资源 ”, 要 选 


的 共享 资源 ”。 
3. 系统 设置 


“应 用 程序 规则 高 级 设置 "对话 框 


hre Efrin SRNIE 1 IP S 


多 许 路 由 器 返回 "超时 "的 ICIP 回 应 tICIP [$ 
区 许 路 由 器 返回 "无 法 到 达 "“ 的 ICIPEICIP py 


| ICMP pay 
Temp pay 
rcr iH 
IP py 
tcp dh 
进行 ärr py 
ESPINER aN SRR TCP 四 


允许 局 城 网 的 机 器 用 ping 命 令 琛 珊 
防止 别人 用 ping 命 令 探 测 
防御 ICIP 攻 击 


图 4-120 HEX IP 规则 


DIF Microsoft Telnet Client 
访问 网 络 ? 


“防御 IGMP 攻击 ”。 


他 ”天 网 防火 墙 警告 信息 


创建 : Bea 
eff: C:\WINNT\system32\telnet. exe 


以 达到 控制 IP 包 过 滤 规 则 的 目 
如 果 要 防止 共享 攻 
先 中 “禁止 互联 网 上 的 机 器 使 用 我 


单 击 左 侧 下 方 的 “系统 设置 ?按钮 ,出 现 如 图 4-121 所 示 的 窗口 。 


在 “启动 ”项 选中 “开机 后 自动 启动 防火 墙 ", 天 网 防火 墙 将 随 着 操作 系统 的 启动 自动 启 


动 。 


车 选中 “应 用 程序 权限 ”项 中 的 “允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 记录 这 些 程 


序 ”, 则 所 有 的 应 用 程序 对 网 络 的 访问 都 默认 为 允许 。 单 击 “ 防 火 墙 自 定义 规则 ”项 中 的 “ 重 


置 ? 按 钮 ,所 有 个 人 设 


和 及 置 的 规则 都 将 被 删除 。 如 果 计 算 机 在 局 域 网 内 , 则 一 定 要 设置 好 “局 域 


网 地 址 ?项 ,这 样 防火 墙 就 可 以 以 这 个 地 址 来 区 分 局 域 网 或 者 是 Internet 的 IP 来 源 。 
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a 


系统 设置 
启动 防火 墙 自 定义 规则 
m 开机 后 自动 启动 防火 墙 


应 用 程序 权限 


厂 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 记录 这 些 程序 


局 域 网 地 址 设 定 
saret | Mec 


报警 声音 
文件 [VarsEiiremitesst E9 ED 
EB ED 


图 4-121 系统 设置 


4.11 人 侵 检测 技术 


入 侵 检 测 技术 是 近年 来 迅速 发 展 起 来 的 .主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。 
作为 防火 墙 的 合理 补充 ,入 侵 检测 技术 能 够 帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安 
全 管理 能 力 , 提 高 了 信息 安全 基础 结构 的 完整 性 。 

入 侵 检 测 系统 (Intrusion Detection System,IDS) 提 供 主 动 的 网 络 保 护 , 它 从 计算 机 网 
络 系统 中 的 若干 关键 点 收集 信息 ,并 对 其 进行 分 析 , 自 动 检 测 网 络 流量 中 违反 安全 策略 的 行 
为 或 遭受 潜在 攻击 的 模式 。 传 统 操作 系统 加 固 技术 和 防火 墙 隔离 技术 等 静态 安全 防御 技 
术 , 对 网 络 攻 击 手段 缺乏 主动 反应 ,入 侵 检测 作为 动态 安全 的 核心 技术 ,很 好 地 解决 了 这 个 
问题 。 它 通过 研究 入 侵 行为 的 过 程 与 特征 ,使 系统 能 够 对 入 侵 事 件 和 入 侵 过 程 做 出 实时 
响应 。 

入 侵 检测 技术 自 20 世纪 80 年 代 初 提出 以 来 ,经 过 20 多 年 的 不 断 发 展 , 从 最 初 的 一 种 
有 价值 的 研究 想法 和 单纯 的 理论 模型 ,迅速 发 展 出 种 类 繁多 的 各 种 实际 原型 系统 ,并 且 在 近 
10 年 内 涌现 出 许多 商用 入 侵 检测 系统 产品 ,已 经 成 为 计算 机 安全 防护 领域 内 不 可 缺少 的 一 
种 重要 的 安全 防护 技术 。 


4.11.1 基本 概念 


入 侵 是 对 信息 系统 的 非 授 权 访 问 以 及 (或 者 ) 未 经 许可 在 信息 系统 中 进行 的 操作 。 
包括 : 
。 外 部 入侵 者 : 系统 的 非 授权 用 户 。 
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。 内 部 人 侵 者 : 超越 合法 权限 的 系统 授权 用 户 。 

。 违法 者 : 在 计算 机 系统 上 执行 非法 活动 的 合法 用 户 。 

。 恶意 程序 的 威胁 : 病毒 、 特 洛 伊 木马 程序 恶意 Java 或 ActiveX 程序 等 。 

。 为 未 来 攻击 进行 准备 工作 的 活动 : 探测 和 扫描 系统 配置 信息 和 安全 漏洞 。 

入 侵 检 测 是 对 企图 入 侵 、 正 在 进行 的 人 侵 或 者 已 经 发 生 的 人 侵 进行 识别 的 过 程 。 是 从 
计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 
中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 机 制 。 

入 侵 检测 系统 使 用 入 侵 检 测 技术 对 网 络 系统 进行 监视 ,并 根据 监视 结果 进行 不 同 的 安 
全 动作 ,最 大 限度 地 降低 可 能 的 人 侵 危 害 。 

例如 ,有 一 个 连接 着 Internet 的 Web 服务 器 ,允许 特定 的 客户 、 员 工 和 一 些 潜在 的 客户 
访问 存放 在 该 Web 服务 器 上 的 Web 页 面 。 然 而 不 希望 其 他 员工 、 顾 客 或 未 知 的 第 三 方 未 
授权 访问 。 一 般 情况 下 ,可 以 采用 一 个 防火 墙 或 者 认证 系统 阻止 未 授权 访问 。 然 而 ,有 时 简 
单 的 防火 墙 措施 或 者 认证 系统 可 能 被 攻破 。 入 侵 检测 是 一 系列 在 适当 的 位 置 上 对 计算 机 未 
授权 访问 进行 警告 的 机 制 。 对 于 假冒 身份 的 人 侵 者 ,入 侵 检 测 系统 也 能 采取 一 些 措施 来 拒 
绝 其 访问 。 

1. 入 侵 检测 系统 的 基本 任务 

入 侵 检 测 系 统 的 基本 任务 包括 : 

。 监视 并 分 析 用 户 和 系统 的 活动 。 

。 核查 系统 配置 和 漏洞 。 

。 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

。 识别 已 知 的 攻击 行为 。 

。 统计 分 析 异 常 行为 。 

。 操作 系统 日 志 管 理 并 识别 违反 安全 策略 的 用 户 活 动 。 

对 一 个 成 功 的 入 侵 检 测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 的 任何 变 
更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 是 它 管理 .配置 简单 ,从 而 使 非 专业 
人 员 可 以 通过 IDS 系统 非常 容易 地 获得 网 络 安全 。 而 且 和 人 侵 检测 系统 还 会 根据 网 络 威胁 、 
系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检 测 系统 在 发 现 入 侵 后 ,会 及 时 做 出 响应 ,包括 切 
断 网 络 连 接 、 记 录 事 件 和 报警 等 。 

2. 入 侵 检测 系统 的 工作 方式 

入 侵 检 测 系统 就 像 是 一 个 有 着 多 年 经 验 、 熟 悉 各 种 人 侵 方式 的 网 络 侦察 员 , 通 过 对 数据 
流 的 分 析 , 从 数据 流 中 过 滤 出 可 疑 数据 包 , 通 过 与 已 知 的 入 侵 方 式 进行 比较 ,确定 入 侵 是 否 
发 生 以 及 人 侵 的 类 型 并 进行 报警 。 

网 络 管理 员 可 以 根据 这 些 报警 确切 地 知道 所 受到 的 攻击 并 采取 相应 的 措施 。 可 以 说 ， 
入 侵 检测 系统 是 网 络 管理 员 经 验 积累 的 一 种 体现 , 它 极 大 地 减轻 了 网 络 管理 员 的 负担 ,降低 
了 对 网 络 管理 员 的 技术 要 求 ,提高 了 网 络 安全 管理 的 效率 和 准确 性 。 

目前 大 部 分 网 络 攻击 在 攻击 前 都 有 一 个 搜集 资料 的 过 程 ,如 基于 特定 系统 的 漏洞 攻击 ， 
在 攻击 之 前 需要 进行 端口 扫描 ,以 确认 系统 的 类 型 以 及 漏洞 相关 的 端口 是 否 开 启 。 某 些 攻 
击 在 初期 就 表现 出 较为 明显 的 特征 ,如 假冒 有 效用 户 登录 ,攻击 初期 的 登录 尝试 具有 明显 的 
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特征 。 对 于 这 两 类 攻击 ,入 侵 检测 系统 可 以 在 攻击 的 前 期 准备 时 期 或 是 在 攻击 刚刚 开始 的 
时 候 进行 确认 并 发 出 警报 。 同 时 入 侵 检测 系统 可 以 对 报警 的 信息 进行 记录 ,为 以 后 的 一 系 
列 实际 行动 提供 证 据 支持 。 这 就 是 人 侵 检测 系统 的 预警 功能 。 

入 侵 检测 一 般 采 用 旁 路 侦 听 的 机 制 ,因此 不 会 产生 对 网 络 带宽 的 大 量 占用 ,系统 的 使 用 
对 网 内 外 的 用 户 来 说 是 透明 的 ,不 会 有 任何 的 影响 。 入 侵 检测 系统 的 单独 使 用 不 能 起 到 保 
护 网 络 的 作用 ,也 不 能 独立 地 防止 任何 一 种 攻击 。 但 它 是 整个 网 络 安全 系统 的 一 个 重要 组 
成 部 分 , 它 扮演 着 网 络 安全 系统 中 侦察 与 预警 的 角色 ,协助 网 络 管理 员 发 现 并 处 理 任何 已 知 
的 入 侵 。 可 以 说 , 它 是 对 其 他 安全 系统 有 力 的 补充 ,弥补 了 防火 墙 在 高 层 上 的 不 足 。 通 过 对 
入 侵 检测 系统 所 发 出 警报 的 处 理 ,网 络 管理 员 可 以 有 效 地 配置 其 他 的 安全 产品 ,使 整个 网 络 
安全 系统 达到 最 佳 的 工作 状态 , 尽 可 能 降低 因 攻击 带 来 的 损失 。 

3. 入 侵 检测 系统 的 基本 结构 

入 侵 检测 系统 的 基本 结构 包括 信息 收集 .信息 分 析 和 结果 处 理 三 部 分 ,如 图 4-122 


所 示 。 
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1) 信息 收集 
图 4-122 入侵 检测 系统 的 基本 结构 
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信息 收集 是 入 侵 检 测 的 第 一 步 ,IDS 收集 到 数据 bs 数据 
的 数据 是 它 进 行 检 测 和 决策 的 基础 。 

信息 收集 的 内 容 包 括 系统 、 网 络 、 数 据 及 用 
户 活动 的 状态 和 行为 。 

信息 收集 的 方法 包括 直接 监控 和 间接 监控 。 直 接 监控 是 指 从 数据 生成 地 或 属地 直接 获 
取 数 据 ; 间接 监控 是 指 从 能 反映 监控 目标 行为 的 数据 源 处 获取 数据 。 直 接 监控 要 优 于 间接 
监控 ,原因 如 下 : 

。 从 非 直接 数据 源 获取 的 数据 在 被 IDS 使 用 之 前 ,有 被 入侵 者 修改 的 潜在 可 能 。 

。 非 直接 数据 源 可 能 无 法 记录 某 些 事件 。 

。 从 间接 数据 源 获取 的 数据 量 一 般 都 非常 大 ,直接 监控 方法 生成 的 数据 量 相 对 较 小 。 

。 间接 监控 机 制 的 伸缩 性 差 。 

。 直接 监控 的 时 延 小 得 多 ,这 样 IDS 才能 据 此 做 出 更 及 时 的 响应 。 

入 侵 检测 的 信息 收集 工具 包括 外 部 探测 器 和 内 部 探测 器 。 外 部 探测 器 的 形式 是 监控 组 
件 与 被 监控 程序 分 离 ,而 内 部 探测 器 则 在 所 监控 的 程序 代码 内 实现 。 由 于 内 部 探测 器 实现 
起 来 难度 较 大 ,所 以 在 现 有 的 IDS 产品 中 ,只 有 很 少 一 部 分 采用 。 

2) 信息 分 析 

对 于 采用 上 述 方法 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 
般 通 过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 其 中 模式 匹配 和 统计 
分 析 方 法 用 于 实时 的 入 侵 检测 ,完整 性 分 析 则 用 于 事后 分 析 。 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ,显著 减 小 了 
系统 负担 , 且 技 术 已 相当 成 熟 。 它 与 病毒 防火 墙 采 用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 
高 。 但 是 ,该 方法 存在 的 弱点 是 需要 不 断 升 级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 
从 未 出 现 过 的 黑客 攻击 手段 。 

统计 分 析 方 法 首先 给 系统 对 象 创建 一 个 统计 描述 .统计 正常 使 用 时 的 一 些 测量 属性 。 
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测量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范 围 之 外 
时 ,就 认为 有 入 侵 发 生 。 其 优点 是 可 以 检测 到 未 知 的 人 侵 和 更 为 复杂 的 入侵 ,缺点 是 误 报 、 
漏 报 率 高 ,上 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 
于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 ,目前 是 研究 的 热点 ,并 正 处 于 迅速 发 展 之 中 。 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 包 括 文 件 和 目录 的 内 容 及 属性 , 它 在 
发 现 被 更 改 的 应 用 程序 方面 特别 有 效 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 
现 人 侵 ,只 要 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 
方式 实现 ,不 能 用 于 实时 响应 。 

3) 结果 处 理 

结果 处 理 包 括 主动 响应 被动 响应 或 者 两 者 的 混合 。 

主动 响应 就 是 当 攻击 或 入 侵 被 检测 到 时 ,自动 做 出 一 些 动作 。 包 括 收集 相关 信息 .中 断 
攻击 过 程 . 阻 止 攻击 者 的 其 他 行动 反击 攻击 者 。 

被 动 响应 提供 攻击 和 和 人 侵 的 相关 信息 ,包括 报警 和 告示 .SNMP 协议 通知 .定期 事件 报 
告 文档 ,然后 由 管理 员 根 据 所 提供 的 信息 采取 相应 的 行动 。 

4. 入 侵 检 测 系 统 的 分 类 

根据 入 侵 检测 系统 的 检测 对 象 和 工作 方式 的 不 同 , 入 侵 检 测 系 统 主 要 分 为 两 大 类 : 基 
于 主机 的 人 侵 检测 系统 和 基于 网 络 的 人 侵 检 测 系 统 。 

从 数据 分 析 手 段 看 ,入 侵 检 测 通常 可 以 分 为 滥用 入 侵 检 测 和 异常 人 侵 检测 。 

滥用 入 侵 检测 的 技术 基础 是 分 析 各 种 类 型 的 攻击 手段 ,并 找 出 可 能 的 “攻击 特征 ”集合 。 
滥用 入 侵 检 测 利用 这 些 特征 集合 或 者 是 对 应 的 规则 集合 ,对 当前 的 数据 来 源 进 行 各 种 处 理 
后 ,再 进行 特征 匹配 或 者 规则 匹配 工作 ,如 果 发 现 满足 条 件 的 匹配 , 则 指示 发 生 了 一 次 攻击 
行为 。 

异常 人 侵 检 测 的 假设 条 件 是 对 攻击 行为 的 检测 可 以 通过 观察 当前 活动 与 历史 正常 活动 
情况 之 间 的 差异 来 实现 。 

比较 而 言 ,滥用 入 侵 检 测 比 异常 入 侵 检 测 具 备 更 好 的 确定 解释 能 力 , 即 明确 指示 当前 发 
生 的 攻击 手段 类 型 ,因而 在 诸多 商用 系统 中 得 到 广泛 应 用 。 另 一 方面 ,滥用 入 侵 检测 具备 较 
高 的 检测 率 和 较 低 的 虚 警 率 , 开 发 规则 库 和 特征 集合 相对 于 建立 系统 正常 模型 而 言 ,也 要 更 
方便 ,更 容易 。 滥 用 检测 的 主要 缺点 在 于 一 般 只 能 检测 到 已 知 的 攻击 模式 。 而 异常 检测 的 
优点 是 可 以 检测 到 未 知 的 人 侵 行为 。 

从 现 有 的 实际 商用 系统 来 看 ,大 多 数 都 是 基于 滥用 入 侵 检测 技术 。 不 过 ,在 若干 种 优秀 
的 入侵 检测 系统 中 ,也 采用 了 不 同形 式 的 异常 人 侵 检 测 技 术 和 对 应 的 检测 模块 。 


4.11.2 基于 主机 的 入 侵 检 测 系统 


基于 主机 的 人 侵 检测 系统 通常 从 主机 的 审计 记录 和 日 志文 件 中 获得 所 需要 的 主要 数据 
源 ,并 辅 之 以 主机 上 的 其 他 信息 ,在 此 基础 上 完成 检测 攻击 行为 的 任务 。 

基于 主机 的 入 侵 检测 系统 用 于 保护 单 台 主 机 不 受 网 络 攻击 行为 的 侵害 ,需要 安装 在 被 
保护 的 主机 上 。 它 直接 与 操作 系统 相关 ,控制 文件 系统 以 及 重要 的 系统 文件 ,确保 操作 系统 
不 会 被 随意 地 删改 ,能 够 及 时 发 现 操作 系统 所 受到 的 侵害 ,并 且 由 于 它 保 存 一 定 的 校 验 信 息 
和 所 有 系统 文件 的 变更 记录 ,所 以 在 一 定 程度 上 还 可 以 实现 安全 恢复 。 
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1. 基于 主机 的 入 侵 检 测 系统 的 优 缺 点 

基于 主机 的 入 侵 检测 系统 的 优点 是 : 能 够 较为 准确 地 监测 到 发 生 在 主机 系统 高 层 的 复 
杂 攻 击 行为 ,其 中 许多 发 生 在 应 用 进程 级 别 的 攻击 行为 是 无 法 依靠 基于 网 络 的 入侵 检测 来 
完成 的 。 

基于 主机 的 入 侵 检测 系统 的 缺点 是 : 严重 依赖 于 特定 的 操作 系统 平台 ; 由 于 运行 在 保 
护 主 机 上 ,会 影响 宿主 机 的 运行 性 能 ; 通常 无 法 对 网 络 环境 下 发 生 的 大 量 攻击 行为 做 出 及 
时 的 反应 。 

2. 基于 主机 的 入 侵 检 测 系 统 的 部 署 

基于 主机 的 人 侵 检测 系统 主要 安装 在 关键 主机 上 ,这 样 可 以 减少 规划 部 署 的 花费 ,使 管 
理 的 精力 集中 在 最 重要 最 需要 保护 的 主机 上 。 同 时 ,为 了 便于 对 基于 主机 的 入侵 检测 系统 
的 检测 结果 进行 及 时 检查 ,需要 对 系统 产生 的 日 志 进 行 集中 。 通 过 进行 集中 的 分 析 、 整 理 和 
显示 ,可 以 大 大 减少 对 网 络 安全 系统 日 常 维护 的 复杂 性 和 难度 。 由 于 基于 主机 的 入 侵 检测 
系统 本 身 需 要 占用 服务 器 的 计算 和 存储 资源 ,因此 ,要 根据 服务 器 本 身 的 空闲 负载 能 力 选 取 
不 同类 型 的 入 侵 检测 系统 并 进行 专门 的 配置 。 


4.11.3 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检 测 系统 通过 监听 网 络 中 的 数据 包 来 获得 必要 的 数据 来 源 ,并 通过 协 
议 分 析 ,特征 匹配 、 统 计 分 析 等 手段 发 现 当前 发 生 的 攻击 行为 。 

基于 网 络 的 人 侵 检测 系统 通常 作为 一 个 独立 的 个 体 放置 在 被 保护 的 网 络 上 , 它 使 用 原 
始 的 网 络 分 组 数据 包 作为 进行 攻击 分 析 的 数据 源 ,通过 将 实际 的 数据 流量 记录 与 人 侵 模式 
库 中 的 和 人 侵 模 式 进行 匹配 ,寻找 可 能 的 攻击 特征 。 如 果 是 正常 数据 包 , 则 允许 通过 或 留待 进 
一 步 分 析 ; 如 果 是 不 安全 的 数据 包 , 则 可 以 进行 阻 断 网 络 连接 等 操作 ,在 这 种 情况 下 ,还 可 
以 重新 配置 防火 墙 以 阻 断 相应 的 网 络 连接 ,共同 保护 主机 的 安全 。 一 旦 检测 到 攻击 ,入 侵 检 
测 系统 应 答 模 块 通过 通知 .报警 以 及 中 断 连 接 等 方式 来 对 攻击 做 出 反应 。 

1. 基于 网 络 的 入 侵 检测 系统 的 优 缺 点 

基于 网 络 的 入 侵 检测 系统 的 优点 是 : 提供 实时 的 网 络 行为 检测 、 同 时 保护 多 台 网 络 主 
机 、 具 有 良好 的 隐蔽 性 .有效 保 护 入 侵 证 据 、 不 影响 被 保护 主机 的 性 能 。 

基于 网 络 的 入 侵 检测 系统 的 缺点 是 : 防 人 侵 欺 骗 的 能 力 较 差 、 在 交换 式 网 络 环境 中 难 
以 配置 ,检测 性 能 受 硬件 条 件 限制 不 能 处 理 加 密 后 的 数据 。 

基于 网 络 的 入 侵 检测 系统 和 基于 主机 的 入 侵 检测 系统 都 有 各 自 的 优势 和 不 足 , 这 两 种 
方式 各 自 都 能 发 现 对 方 无 法 检测 到 的 一 些 网 络 入 侵 行为 ,如 果 同 时 使 用 互相 弥补 不 足 ,会 起 
到 良好 的 检测 效果 。 

2. 基于 网 络 的 入 侵 检 测 系 统 的 部 署 

基于 网 络 的 入 侵 检 测 系统 可 以 在 网 络 的 多 个 位 置 对 网 络 入 侵 检 测 器 进行 部 署 。 入 侵 检 
测 的 部 署 点 可 以 划分 为 4 个 位 置 : DMZ 区 、 外 网 入 口 、 内 网 主干 ,关键 子 网 , 如 图 4-123 
所 示 。 

根据 检测 器 部 署 位 置 的 不 同 , 入 侵 检 测 系统 具有 不 同 的 工作 特点 。 用 户 需 要 根据 自己 
的 网 络 环境 以 及 安全 需求 进行 网 络 部 署 ,以 达到 预定 的 网 络 安全 需求 。 
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@ 内 网 主干 


入 侵 检测 器 
@ 外 网 入 口 


4123 ”系统 设置 


4.11.4 现 有 入 侵 检 测 技 术 的 局 限 性 


入 侵 检 测 系统 是 企业 安全 防御 系统 中 的 重要 部 件 ,但 入 侵 检 测 系统 并 不 是 万 能 的 , 现 有 
的 人 侵 检测 技术 还 存在 许多 不 足 。 

1. 主机 入 侵 检测 技术 存在 的 问题 

1) 对 系统 性 能 的 影响 
主机 入 侵 检测 依赖 部 署 在 目标 主机 上 的 代理 进行 工作 ,并 且 通 常 是 在 分 布 式 的 网 络 系 
统 内 部 署 多 个 检测 代理 组 件 来 完成 对 目标 系统 的 安全 监控 。 主 机 入 侵 检 测 对 系统 性 能 的 影 
响 体 现在 两 个 方面 : 

(1) 目标 主机 上 生成 的 审计 数据 量 通常 是 很 大 的 ,而 负责 处 理 这 些 审计 数据 的 代理 势 
必要 占据 主机 的 处 理 能 力 , 从 而 影响 主机 的 运行 性 能 ; 

(2) 如 果 主 机 代理 需要 通过 网 络 将 数据 和 报警 信号 传送 到 控制 台 进 行 统一 处 理 时 , 则 
大 量 代理 所 发 送 的 网 络 数据 包 会 占用 可 观 的 带宽 资源 ,从 而 影响 网 络 的 运行 性 能 。 

通常 需要 根据 具体 情况 ,在 两 种 不 同性 能 影响 情况 中 进行 折 中 处 理 。 

2) 部 署 和 维护 的 问题 

由 于 主机 入 侵 检测 需要 在 每 个 目标 机 上 都 至 少 部 署 一 个 代理 ,所 以 如 何 实现 方便 的 统 
一 部 署 、. 管 理 和 维护 工作 是 一 项 困难 的 工作 ,特别 是 在 分 布 式 的 网 络 环境 下 尤其 如 此 。 

3) 安全 问题 

代理 直接 部 署 在 目标 系统 上 ,因此 获得 非法 权限 的 用 户 可 以 直接 关闭 该 代理 的 运行 并 
删除 该 代理 。 主 机 上 的 审计 记录 来 源 同 样 较 为 容易 被 恶意 地 删改 ,从 而 躲避 过 主机 入侵 
检测 。 

2. 网 络 入 侵 检测 技术 面临 的 主要 问题 

1) 高 速 网 络 环境 下 的 检测 问题 

网 络 带宽 的 增长 速度 已 经 超过 了 计算 能 力 的 提高 速度 ,尤其 对 于 入 侵 检 测 而 言 ,为 了 保 
证 必需 的 检测 能 力 ,通常 需要 进行 网 络 数据 包 的 重组 操作 ,这 就 需要 耗费 更 多 的 计算 能 力 。 
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2) 交换 式 网 络 环境 下 的 检测 问题 

传统 的 网 络 人 侵 检测 技术 无 法 监控 交换 式 网 络 ,通常 需要 添加 一 些 额外 的 硬件 措施 A 
能 够 完成 检测 任务 ,这 将 带 来 性 能 和 通用 性 等 方面 的 问题 。 

3) 加 密 的 问题 

大 多 数 的 网 络 人 侵 检测 技术 都 需要 通过 对 数据 包 中 的 特定 特征 字符 串 进行 分 析 匹 配 ， 
才能 够 发 现 人 侵 活动 。 如 果 对 网 络 上 传输 的 数据 进行 了 加 密 操作 ,无 论 是 在 IP 层 (IPSec) ， 
还 是 在 会 话 层 和 应 用 层 (SSL) ,都 会 极 大 影响 网 络 人 侵 检测 系统 的 正常 工作 。 

3. 入 侵 检 测 的 通用 性 问题 

1) 虚假 警报 问题 

实际 操作 中 存在 的 主要 问题 是 虚假 警报 的 泛滥 。 

2) 可 扩展 性 问题 

可 扩展 性 问题 可 以 分 为 时 间 上 的 扩展 性 和 空间 上 的 扩展 性 。 


3) 管理 问题 
首先 考虑 与 网 络 管理 系统 的 集成 问题 ; 其 次 是 如 何 来 管理 入 侵 检 测 系统 内 部 可 能 存在 
的 大 量 部 件 。 


4) 支持 法 律 诉讼 

现 有 的 入 侵 检测 系统 对 于 法 律 诉讼 的 支持 问题 ,设计 考虑 还 不 很 完善 。 

5) 互 操作 性 问题 

未 来 的 各 种 入侵 检测 系统 必须 能 够 遵循 统一 的 数据 交换 格式 和 传输 协议 ,从 而 能 够 方 
便 地 共享 信息 ,更 好 地 进行 协同 工作 。 


4.11.5 Windows 2000/XP 简单 安全 入 侵 检 测 


Windows 2000/XP 自 带 了 强大 的 安全 日 志 系 统 , 从 用 户 登录 到 特权 的 使 用 都 有 很 详细 
的 记录 ,但 是 在 默认 安装 下 安全 审核 是 关闭 的 。 

1. 打开 安全 审核 

执行 “控制 面板 "| “管理 工具 ”| * 本 地 安全 策略 "| * 本 地 策略 "| “审核 策略 ”命令 ,在 如 
图 4-124 所 示 的 窗口 中 打开 需要 的 审核 。 


文件 @) REQ SEW 帮助 d) 


xd 
od 
peed 
a : 国 市 核对 象 访问 
+ 全 用户 权利 指派 rrime 


由 国 安全 选项 审核 目录 服务 访问 
s- 公 铀 第 略 市民 特权 信用 


+ C 软件 限制 第 中 as 
or zomg, T pin PIPERIS 


图 审核 账户 登录 事件 
国定 核 账户 管理 


4-124 “本 地 安全 设置 "窗口 
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审核 策略 确定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ,同时 也 确定 是 否 记 录 登 
录 成 功 或 登录 失败 ,或 二 者 都 记录 。 一 般 来 说 “审核 登录 事件 ”和 “审核 账户 管理 ?是 最 关心 
的 事件 ,要 同时 打开 其 成 功 和 失败 审核 ,对 于 其 他 的 审核 也 要 打开 失败 审核 。 打 开 的 方法 是 
双击 对 应 的 策略 ,如 双击 “审核 登录 事件 ”, 出 现 如 图 4-125 所 示 的 对 话 框 ,然后 选择 成 功 审 
核 和 失败 审核 。 


4-125 ”审核 的 设置 


2. 查看 安全 日 志 

设置 了 安全 日 志 后 应 该 制定 一 个 安全 日 志 的 检查 机 制 ,因为 人 侵 者 一 般 都 是 晚上 行动 ， 
所 以 上 午 的 第 一 件 事 就 是 查看 日 志 是 否 有 异常 。 执 行 “ 控 制 面板 ”|“ 管 理工 具 ”"|“ 事 件 查 看 
器 ”命令 ,在 如 图 4-126 所 示 的 “事件 查看 器 "窗口 中 可 以 进行 安全 日 志 的 查看 。 


B 事件 查看 器 
Re) MEQ EV HHO 


”应 用 程序 错误 记录 
安全 审核 记录 
系统 错误 记录 Ct 


4-126 ”事件 查看 器 


除了 安全 日 志 , 应 用 程序 日 志和 系统 日 志 也 是 非常 好 的 辅助 检测 工具 。 一 般 来 说 ,入 侵 
者 除了 在 安全 日 志 中 留 下 痕迹 ,在 系统 和 应 用 程序 日 志 中 也 会 留 下 蛛丝马迹 。 

【 例 4-13] 查看 上 网 时 间 。 

(1) 在 “事件 查看 器 ” 左 侧 的 窗口 中 右 击 “ 系 统 ”. 执 行 “ 属 性 ”命令 ,在 "系统 属性 ”窗口 
中 选择 “筛选 器 "选项 卡 , 在 “事件 来 源 ” 中 选择 RemoteAccess, 如 图 4-127 firm. 

(2) 单 击 “ 确 定 ” 按 钮 , 回 到 “事件 查看 器 ” 主 窗口 ,在 右边 的 窗口 中 就 会 显示 出 上 网 的 开 
始 时 间 和 结束 时 间 , 相 邻 的 两 个 时 间 中 较 早 的 就 是 开始 上 网 的 时 间 , 较 晚 的 则 是 下 线 的 时 
间 , 如 图 4-128 所 示 。 
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BA WS 
事件 类 型 

回信 息 四 
Mee 中) 
Mise w 


EHRE V: 
2310 

事件 IDG): 
APO 
计算 机 w 


AD: [RTH a) 
到 四 ): [最 后 -个 事件 w) 


J 
还 原 为 默认 值 ® 
Laz 取消 BAW 


图 4-127 筛选 RemoteAccess 事件 


D 事件 查看 器 
Ree) REA BEW 帮助 0) 
e+ ome e 
i) 事件 查看 器 本地) 系统 第 选 的 查看 显示 2, 645 个 事件 中 的 174 
|B 期 时 间 | 来 源 


2005-8-23 18:03:49 RemoteAccess 
2005-8-23 17:56:07 RemoteAccess 


图 4-128 上 网 时 间 的 查看 


【 例 4-14】 查看 计算 机 开关 机 时 间 。 

CL) 在 “事件 查看 器 " 左 侧 的 窗口 中 右 击 “ 系 统 ”. 执 行 “ 属 性 ”命令 ,在 "系统 属性 ”窗口 
中 选择 "筛选 器 ?选项 卡 ,在 “事件 来 源 ” 中 选择 eventlog。 

(2) 单 击 “ 确 定 "按钮 , 回 到 “事件 查看 器 ” 主 窗口 ,双击 窗口 右 侧 的 某 条 记录 ,如 果 在 出 
现 的 对 话 框 中 显示 “事件 服务 已 启动 ”, 对 应 的 时 间 就 是 计算 机 开机 或 重新 启动 的 时 间 ; 如 果 
描述 的 信息 是 “事件 服务 已 停止 ”, 其 对 应 的 时 间 就 是 计算 机 的 关机 时 间 , 如 图 4-129 所 示 。 


4.11.6 单机 版 入 侵 检 测 系统 Nuzzler Intrusion Detection 


单机 版 入 侵 检 测 系 统 NID(Nuzzler Intrusion Detection) 主 要 用 于 小 型 服务 器 和 家 庭 计 
算 机 ,具有 1500 条 以 上 的 入 侵 行为 特征 规范 ,并 允许 用 户 自行 添加 或 更 改 , 能 实时 检测 到 网 
络 中 可 能 存在 的 攻击 行为 ,病毒 、 木 马 等 恶意 数据 通信 。 它 还 整合 了 嗅 探 系 统 ,可 以 扫描 和 
截获 网 络 中 不 同 通 信 协 议 的 数据 包 ( 如 TCP、UDP 和 ICMP)。 通 过 入 侵 行为 与 本 身 人 侵 特 
征 库 中 的 数据 进行 比较 ,能 及 时 发 现 网 络 中 的 各 种 攻击 行为 ,如 端口 扫描 、IP 非法 连接 等 。 

1. NID 的 使 用 

(1) 第 一 次 运行 NID, 出 现 如 图 4-130 所 示 的 对 话 框 ,要 求 设置 网 络 适配器 。 
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事件 详细 信息 


BMA): 2005-8-23 RMS): EventLog 
RHAW: 17:54:47 AQ: E 

类 型 E): fe 事件 IDG): 6005 
FAP W: Wa 

计算 机 @) : HEIN-4ATFOC8380 


描述 四 ) 
局 件 日 志 服务 已 启动 。 


有 关 更 多 信息 ， 请 参阅 在 


http: //go. microsoft. com/fwlink/ events. asp 的 帮助 和 支持 中 
Le 


You are running Nuzzler for the first time and the Network Adapter is 
not configured. After you close this Windoy the Settings Dialog vill 
appear, where you can select a Network Adapter. 


图 4-130 ”要 求 设置 网 络 适配器 
(2) 单 击 “ 确 定 ” 按 钮 ,出 现 如 图 4-131 所 示 的 对 话 框 。 


Settings 


可 ]| Network | Alarm | Others | Plugins | 
Network Adapter 


区 Select a Network Adapter: 


Network Segement 


多 Specify INTERNAL Network Variable: 


Alert Messages 


9 Alert Messages are Messages which are generated 
> whenever a IDS Rule encounters. 


Quota: 10 Messages 


J | 


I Autosave Messages 


图 4-131 设置 网 络 适配器 
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(3) 在 General 选项 卡 的 Select a Network Adapter 文本 框 中 根据 实际 情况 指定 网 络 
适配器 。 

(4) 在 Specify INTERNAL Network Variable 文本 框 中 指定 NID 要 嗅 探 的 网 络 IP 地 
址 段 的 前 三 位 ,如 192. 168.1. 

(5) 在 Alert Messages 中 根据 计算 机 硬件 的 性 能 进行 报警 信息 的 设置 ,性 能 好 的 计算 
机 可 以 选择 更 多 的 显示 信息 。 

(6) 单 击 Ok 按钮 ,进入 NID 主 界面 ,如 图 4-132 所 示 。 


© Wuzzler Intrusion Detection System 


| Ble Session Hep , |» = 


Rules 
Ma 
Trusted Address 
List 


Properties 


9 


Lock Application IMS = | 2 
Traffic [Network | Observer Hide Server Panel a 
‘Stamp ‘Source Address Destination Address [Descrip | Detailed information: More Information... & 


(2347 Rules from 48 Sets "Bean Time: 21:45:43 0 Packets 


4-132 NID ERE 


(7) 单 击 工具 栏 中 的 Start 按钮 即 可 对 系统 进行 监控 。 

2. NID 的 规则 设置 

NID 包含 了 六 大 类 若干 小 类 1500 条 的 人 侵 特 征 规则 ,这 些 规 则 包括 了 在 网 络 中 所 遇 
到 的 操作 系统 种 类 、 合 法 的 互联 网 服务 .非法 的 网 络 命令 .关键 字 等 。NID 根据 这 些 已 经 设 
定好 的 人 侵 规则 与 扫描 嗅 探 得 到 的 数据 包 进 行 对 比 ,发 现 对 网 络 或 主机 有 威胁 的 数据 包 就 
及 时 在 NID 的 操作 界面 中 详细 显示 出 来 ,以 便 用 户 能 及 时 处 理 这 些 入 侵 行为 。 

如 果 需 要 修改 其 中 的 规则 ,可 以 采用 下 面 的 方法 实现 。 

(1) 在 NID 主 窗口 左 侧 的 导航 栏 中 单 击 Rules 图 标 , 出 现 如 图 4-133 所 示 的 入侵 规则 
分 类 列表 。 

(2) 单 击 其 中 的 任 一 小 类 时 ,弹出 如 图 4-134 所 示 的 详细 列表 。 列 表 中 的 每 条 入 侵 特 
征 规则 包含 了 编号 ,协议 类 型 . 源 地 址 .目标 地 址 、 端 口号 .通信 内 容 等 参数 。 由 于 指定 了 这 
些 规定 的 参数 ,NID 就 可 以 根据 这 些 参数 在 运行 过 程 中 对 网 络 的 各 种 数据 传输 进行 监控 、 
限制 和 反应 。 
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attack-responses.rdf 
backdoor dF 
bad-traffic.rdf 
chat.rdf 
ddos.rdf 
deleted.rdf 
dns.raf 

dos. rdf 
lexperimental.rdF 
lexploit.rdF 
finger rdf 

ftp rd 

icmp. rdf 
icmp-info.rdf 
imap.rdf 
info.rdf 

local.rdf 
misc.rdf 


图 4-133 入侵 规则 分 类 列表 


 Ruleset (attack-responses) 


| Console Actin - OC oe | X E 
Protocol |Source [Message 
INTERNAL X ATTACK-RESPONSES ... Volume Serial Numbe 
ANY EXTERNAL ATTACK-RESPONSES ... Command completec 
ANY EXTERNAL ATTACK-RESPONSES ... Bad command or File 
EXTERNAL ATTACK-RESPONSES ... 1 file|28]s|29| copie 
EXTERNAL ATTACK-RESPONSES ,,, Invalid URL 
EXTERNAL ATTACK-RESPONSES ,,, Index of jcgHbin/ 
EXTERNAL ATTACK-RESPONSES ,,, HTTP/1.1 403 


ANY ATTACK-RESPONSES ... uid=0|28|root|29] 
INTERNAL EXTERNAL ATTACK-RESPONSES ,,, uid=; gid= 
INTERNAL EXTERNAL ATTACK-RESPONSES ,,, Oracle Applications ' 
INTERNAL EXTERNAL ATTACK-RESPONSES ... “GOBBLE* 


INTERNAL EXTERNAL ATTACK-RESPONSES ... *GOBBLE* 

INTERNAL EXTERNAL ATTACK-RESPONSES ... *GOBBLE* 

INTERNAL EXTERNAL ATTACK-RESPONSES ... uname 

INTERNAL EXTERNAL ATTACK-RESPONSES ... username too long 一 
INTERNAL EXTERNAL ATTACK-RESPONSES .., Microsoft Windows; 


> 
C:\Program Files \Nuzzler Intrusion Detection System\bin\. . \rules\attack-responses. rdf 


图 4-134 某 小 类 规则 的 详细 列表 


(3) 双击 具体 的 规则 ,出现 对 应 的 属性 窗口 ,如 图 4-135 所 示 。 

(4) 在 Network 选项 卡 中 可 以 进行 如 下 的 修改 : 

。SID: NID 入 侵 特 定 规则 编号 。 

。 Message: 当 NID 和 此 规则 符合 时 所 显示 的 内 容 。 

。 Protocol: 选择 NID 需要 监控 的 内 容 协议 ,包括 TCP.UDP.IP.ICMP 等 。 

。 Source: 网 络 源 地 址 及 端口 选择 ,其 中 Network 中 的 Any、External、Internal 分 别 表 
示 NID 监控 的 网 络 方式 ,External 为 广域网 ,Internal 为 本 地 网 ,Any 为 内 外 同时 扫 
描 监 控 。 


ay 
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。 Destination; 网 络 目标 地 址 及 端口 选择 。 
(5) 单 击 Data Package 选项 卡 ,可 以 由 用 户 设 定 监控 扫描 的 数据 包 标 识 , 主 要 包括 IP 
报头 和 TCP 报头 选项 ,如 图 4-136 所 示 。 


Rule Properties Rule Properties 


Network | Data Package | Optional | Network Data Package | Optional | 
General IP Header Options 


SID: 1292 Ident Field: [0 PayloadSze: | 


Message: ATTACK-RESPONSES directory listing TTL Field: p TOS Field: p 


Protocol TCP Header Options 


Protocol: G SEQFied: fo Flags: 
ACK Field: f 


a 
Network: Fn Internal een 


Source 


Notice: Use |<content>| for hexadecimal values (e.g. |FF A11). 


Source Port: ny 
Volume Serial Number 


Destination 


Network: iat External 


Destination Port: jany Offset: |o Depth: fo [ Not Case Sensitive 


I Disable Rule I Disable Rule Cancel 


4135 ”规则 的 属性 窗口 4-136 Data Package 选项 卡 


规则 更 改 完毕 后 ,NID 即 可 按 新 的 规则 进行 判定 。 


4.12 数据 备份 


数据 备份 是 把 文件 或 数据 库 从 原来 存储 的 地 方 复 制 到 其 他 地 方 的 活动 ,其 目的 是 为 了 
在 设备 发 生 故 障 , 或 发 生 其 他 威胁 数据 安全 的 灾害 时 保护 数据 ,将 数据 遭受 破坏 的 程度 降 到 
最 小 。 
4.12.1 数据 备份 与 恢复 

备份 方法 有 “重点 备份 ”和 “全 面 备 份 " 两 种 ,“ 重 点 备份 ”只 选择 重要 的 数据 和 文档 进行 
备份 ,速度 较 快 ,适宜 经 常 进行 ;“ 全 面 备份 ?是 对 所 有 文件 进行 备份 ,速度 较 慢 ,不 宜 经 常 
进行 。 

1. 基本 备份 方法 

Windows 2000/XP 自 带 了 功能 强大 的 备份 工具 ,通常 情况 下 完全 可 以 满足 日 常备 份 的 
需要 ,操作 步骤 如 下 : 

(1) 执行 “开始 ”| 程序 "| 附件 ?| 系统 工具 ”| 备份 ”命令 ,出 现 如 图 4-137 所 示 的 备 
份 工具 主 界面 。 

(2) 单 击 “ 备 份 向 导 ” 按 钮 ,出 现 欢迎 页 面 ,如 图 4-138 所 示 。 
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SOLA 一 [无 标题 ] 
PLD RED EEV IAM 帮助 0 
欢迎 ”| 备份 “| 还原 和 管理 媒体 | 计划 作业 
欢迎 使 用 备份 工具 高 级 模式 
如 果 愿 意 ， 您 可 以 切换 到 向 导 模式 ， 使 用 备份 或 还 原 的 简化 设置 。 


备份 向 导 (高 级 ) (B) 
备份 向 导 帮 助 您 创建 程序 和 文件 备份 。 


RAS (高 级 ) R) 
还 原 向 导 帮 助 您 从 备份 还 原 数 据 。 


半生 w 


R ES” ASHZHe TEAR Aeh: 即 带 有 系统 设置 的 软盘 和 合 有 本 地 
Pree ea ret im 


图 4-137 备份 工具 主 界面 


欢迎 使 用 备份 向 导 


此 向 导 夫 助 您 创 津 数 据 备份 副本 。 Emenee 
MARP » EFA ai EIS 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


4-138 备份 向 导 欢 迎 页 面 


(3) 单 击 * 下 一 步 ? 按 钮 ,出现 如 图 4-139 所 示 的 对 话 框 。 


(4) 通常 选择 “备份 选 定 的 文件 .驱动 器 或 网 络 数据 ”, 单 击 “ 下 一 步 按 钮 ,出 现 如 图 4-140 
所 示 的 界面 。 


(5) 选中 需要 备份 的 文件 或 文件 夹 前 面 的 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-141 
所 示 的 对 话 框 。 


(6) 选择 保存 的 位 置 , 输 入 备份 文件 的 名 称 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-142 所 示 
的 对 话 框 。 


(7) 单 击 “完成 ”按钮 ,系统 进行 备份 ,备份 结束 后 ,出 现 如 图 4-143 所 示 的 对 话 框 。 
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要 备份 的 内 容 
可 指定 想 备份 的 项 目 。 


选择 要 备份 的 资料 : 


侣 只 备份 系统 状态 数据 O) 


0) Ce) 


图 4-139 指定 备份 项 目 


&) 
要 备份 的 项 目 
您 可 以 备份 任何 姐 合 形式 的 驱动 器 、 文 件 殉 或 文件 . ie 


击 友 这 的 一 个 项 目 以 查看 其 内 容 。 热 后 选择 要 备份 的 驱动 器 、 文 件 严 或 文件 
Soeren. 


名 称 
O 是 我 的 电脑 
» OC) 和 文档 站 ees 
2 OS ALEE O Bpak tke 
o SRE 


ie 


4140 选择 备份 内 容 


备份 类 型 、 目 标 和 名 称 
您 的 文件 和 设置 佬 存在 指定 的 目标 。 


选择 保存 备份 的 位 置 L): 


BsKe 0) ~ 


键入 这 个 备份 的 名 称 QD) : 
[Backup 


KL- 上 SEF) ( me) 


图 4-141 指定 备份 文件 位 置 与 文件 名 
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RAS 


创建 了 下 列 还 原 设置 


描述 AREF 2005-8-24, 19:41 

内 容 只 备份 某 些 文件 、 文 件 来 或 驱动 器 

位 置 文件 

me C:\. .. Admini strator\Si\Bachup. bkf 


时 间 立即 
关闭 验证 ， 不 使 用 硬件 压缩 ， 附 加 到 | 我 的 
Rel Shei. 


要 关闭 这 个 向 导 并 开始 备份 ， 请 单 击 “ 完 成 ”。 
要 指定 额外 的 备份 选项 ,请 单 击 “ 高 
ee 


CEFO] (Ba 


图 4-142 “完成 备份 向 导 ” 对 话 框 


已 从 
要 参阅 详 细 信息 ， 请 单 击 “报告 ”。 


c 
BE: Backup. bkf KET 2005-8-24， 位 于 19:4 
状态 完成 


已 用 时 间 估计 剩余 时 间 
13 Æ] 


已 处 理 : fait: 
258| 258 


31, 002, 526| 31, 002, 526 


图 4-143 备份 完成 


2. 高 级 备份 功能 
(1) 在 “完成 备份 向 导 ” 对 话 框 中 单 击 “高 级 ”按钮 可 以 进行 更 多 的 设置 ,如 图 4-144 所 示 。 
备份 类 型 
可 选择 适合 您 的 需要 的 备份 类 型 。 


选择 要 备份 的 类 型 1): 
正常 


ea 
Ea 


Ki- 上 SF 上 Sw) ( Re) 


4-144 “备份 向 导 ” 对 话 框 
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“备份 ”实用 程序 支持 5 种 方法 备份 计算 机 或 网 络 上 的 数据 。 

正常 ?是 最 常用 的 备份 类 型 ,效率 比较 高 ,使 用 这 种 备份 类 型 进行 备份 时 ,已 经 备份 的 
文件 将 会 被 清除 “归档 ”属性 ,也 就 是 说 这 个 文件 被 标记 为 “已 经 备份 ”。 下 次 备份 的 时 候 ,如 
果 文 件 没 有 修改 就 不 需要 再 次 备份 了 。 

“副本 ”是 一 种 效率 相对 较 低 的 备份 类 型 ,每 次 备份 时 ,所 有 文件 不 论 以 前 是 否 备份 过 ， 
也 不 论 备份 是 否 修改 过 ,一 律 进行 备份 。 

“ 增 量 ” 备 份 只 备份 上 一 次 正常 或 增 量 备份 后 ,创建 或 改变 的 文件 。 它 将 文件 标记 为 已 
经 备份 ( 换 句 话说 ,存档 属性 被 清除 ) 。 如 果 使 用 正常 和 增 量 备份 的 组 合 , 需 要 具有 上 一 次 普 
通 备份 集 和 所 有 增 量 备 份 集 , 以 便 还 原 数据 。 

“差异 ”备份 从 上 次 正常 或 增 量 备份 后 ,创建 或 修改 的 差异 备份 副本 文件 。 它 不 将 文件 
标记 为 已 经 备份 ( 换 句 话 说 ,没有 清除 存档 属性 )。 如 果 要 执行 普通 备份 和 差异 备份 的 组 合 ， 
则 还 原文 件 和 文件 夹 将 需要 上 次 已 执行 过 普通 备份 和 差异 备份 。 

“每 日 ”备份 复制 执行 每 日 备份 的 当天 中 修改 的 所 有 选中 的 文件 。 备 份 的 文件 将 不 会 标 
记 为 已 经 备份 ( 换 名 话说 ,没有 清除 存档 属性 ) 。 

(2) 选择 备份 类 型 后 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-145 所 示 的 对 话 框 。 


如何 备 份 
可 以 指定 驻 证、 压缩 和 阴影 复制 选项 。 


Fea 


Serr 


用 三 件 压缩 OF 


有 EnTEanwT Laomattysa， ROTE 


停 用 卷 阴影 复制 四 ) 
Be hae » 即使 写 入 文件 操作 正 


《上 一 步 @) 


4-145 备份 选项 


(3) 单 击 “下 一 步 ? 按 钮 ,出 现 如 图 4-146 所 示 的 对 话 框 。 

(4) 如 果 选 择 “ 将 这 个 备份 附加 到 现 有 备份 ”, 那 么 备份 的 时 候 新 的 备份 内 容 不 会 覆盖 
原来 的 备份 内 容 , 而 是 在 一 个 文件 中 ,以 后 可 以 指定 恢复 到 任何 时 候 , 当 然 所 消耗 的 磁盘 空 
间 会 大 一 些 。 如 果 将 其 与 “备份 类 型 "进行 巧妙 的 搭配 也 可 以 节省 大 量 的 磁盘 空间 。 如 在 
“备份 类 型 ”中 选择 “差异 ”, 就 可 以 尽 可 能 地 节省 磁盘 空间 。 

3. 自动 备份 

自动 备份 为 备份 制定 一 个 “计划 任务 ”, 到 了 指定 的 时 候 计 算 机 会 自动 进行 备份 。 

(1) 在 图 4-146 中 单 击 “下 一 步 ? 按 钮 出现 如 图 4-147 所 示 的 对 话 框 。 

(2) 选择 “以 后 ” 单 选 按钮 , 单 击 “ 设 定 备份 计划 ”按钮 ,弹出 如 图 4-148 所 示 的 对 话 框 。 
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备份 选项 
指定 是 否 要 改写 数据 还 是 限制 对 数据 的 访问 。 


如 果 用 来 备份 数 需 的 媒体 已 合 有 备份 ， 选择 下 列 一 个 选项 : 


人 〇 葵 换 现 有 备份 W 
只 有 在 车 换 现 有 备份 时 下 列 选项 才 可 用 。 


图 4-146 选择 附加 或 替换 备份 


份 时间 
可 现在 运行 备份 或 计划 以 后 再 运行 。 


什么 时 候 执行 备份 ? 
口 现在 四 
外 以 后 四 

计划 项 

作业 名 中) : 


起 始 日 期 @) [200s 年 8 月 24 日 于 20:08 


设 定 备份 计划 G) 


KE- 


图 4-147 备份 时 间 对 话 框 

G) 指定 计划 任务 后 , 单 击 * 确 定 ?按钮 ,完成 备份 时 间 间 隔 和 备份 开始 时 间 的 设置 。 

备份 启动 后 ,最 好 关闭 正在 运行 的 程序 ,因为 有 些 程序 会 对 备份 有 影响 。 如 用 Word 打 
开 一 个 文档 ,该 文档 将 无 法 备份 。 此 外 还 要 养 成 在 其 他 外 部 存储 介质 上 定期 备份 ,如 光盘 、 
网 络 备份 等 。 

4. 数据 还 原 

数据 备份 后 都 会 得 到 一 个 单独 的 文件 ,在 需要 还 原 的 时 候 , 只 要 双击 该 文件 ,在 备份 工 
具 中 选择 “还 原 和 管理 媒体 ”, 如 图 4-149 所 示 。 

选择 需要 还 原 的 文件 或 文件 夹 ,在 “将 文件 还 原 到 ”中 选择 文件 还 原 的 目的 地 , 单 击 “ 开 
始 还 原 ” 按 钮 进行 还 原 。 
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计划 | 设置 | 


E 20:08 » 2005-8-24 


计划 任务 O): 开始 时 间 T) : 
Boe E 


lzoos 年 8 有 2 晶 ë w 


显示 多 项 计划 0D ， 


4-148 ”指定 计划 任务 


3 备份 工具 - [还原 和 管理 媒体 ] 
LD RED SEW IAV 帮助 
欢迎 “| 备份 “| 还 原 和 管理 媒体 | 计划 作业 | 


A 扩展 所 需 的 媒体 项 目 ， 选 择 要 还 原 的 项 目 。 右 键 单 击 某 个 媒体 项 目 查看 其 选项 ©): 
a 0g xt 名 称 大 小 修改 
日 目 | py kf ABET |O OREHA 2005-6-23 15:40 
ení 
日 口 回 Documents « 
S OD Administ 
200TH 
OG 


将 文件 还 原 到 M) 如 果 文 件 已 经 存在 : 
原 位 置 GB 


4-149 数据 还 原 


4.12.2 Windows XP 系统 还 原 功 能 


利用 Windows XP 系统 还 原 功能 ,可 以 在 Windows XP 出 现 故障 无 法 启动 或 者 正常 运 
行 时 恢复 到 以 前 的 状态 ,要 实现 这 样 的 功能 ,必须 定期 设置 “还 原点 ”, 然 后 才能 在 紧急 情况 
发 生 时 进行 恢复 。 设 置 还 原点 就 如 同 给 Windows XP 照 一 张 “ 快 照 ”, 如 果 Windows XP 被 
病毒 或 者 恶意 代码 破坏 的 面目 全 非 时 ,系统 还 原 功能 就 可 以 根据 这 个 “快照 ?对 Windows 
XP 进行 “整容 ”, 让 它 恢复 原样 。 

1. 还 原点 的 创建 

还 原点 创建 的 具体 步骤 如 下 : 

(1) 执行 “开始 ”| “程序 "| "附件 ?| "系统 工具 ”|* 系 统 还 原 ” 命 令 ,出 现 如 图 4-150 所 示 
的 界面 。 
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T 


T 系统 还 原 


欢迎 使 用 系统 还 原 


eet err ethers 
ER B. RRR 回 到 一 个 Š 起 
ESMI ( 称 为 还 原点 ) 而 不 会 委 失 您 是 近 的 工作 ， 加 ileal es 
RANE, CFM, ARTA. 


“RAG MN ALA TRAE RAT. Obe—-NERAC) 
您 的 计 自 机 自动 创建 还 原点 (叫做 系统 检查 点 )， 但 是 经 
也 可 以 使 用 "系统 还 原 ' 旧 陡 自己 的 还 原点 。 加 果 称 要 对 


系统 进行 大 的 更 疏 ， 例 如 安装 新 的 程序 或 更 改 注册 表 ， 
这 是 很 有 用 的 。 


要 继续 ， 选 择 一 个 选项 ， 然 后 单 击 T-P”. 


图 4-150 系统 还 原 界面 
(2) 选择 “创建 一 个 还 原点 ”, 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 4-151 


© 系统 还 原 


创建 一 个 还 原点 


您 的 计算 机 自动 在 计划 的 时 间 内 或 在 安装 特定 程序 之 前 创建 还 原点 。 不 过 ,您 也 可 以 使 用 "系统 还 原 ” 
在 计算 机 计划 之 外 的 时 间 创 建 您 自己 的 还 原点 。 


ee ee E OE: 请 确认 您 输入 的 描述 在 稍 后 您 需要 还 原 计算 机 时 容易 
识别 。 


TRAME: 


ltest 


当前 的 日 期 和 时 间 被 自动 添加 到 您 的 还 
在 创建 后 ,还 原点 不 能 被 更 改 。 在 继续 前 ,请 确认 你 输 入 了 正确 的 名 称 。 


所 示 的 对 话 杠 


创建 (Q) 


] [ WC) ] 


图 4-151 创建 还 原点 
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G) 输入 “还 原点 描述 ”, 单 击 “ 创 建 "按钮 ,还 原点 创建 成 功 ,如 图 4-152 所 示 。 


您 系统 还 原 


还 原点 已 创建 


新 的 还 原点 : 


2005 年 8 月 24 日 
21:11:57 test 


ERTI- MER, MEEN. 


A 4-15 还 原点 已 创建 
2. 系统 还 原 


创建 了 还 原点 后 ,如 果 系统 被 破坏 ,就 可 以 打开 Windows XP 的 系统 还 原 功 能 进行 还 原 。 
CL) 在 系统 还 原 界 面 中 选择 “恢复 我 的 计算 机 到 一 个 较 早 的 时 间 ” 项 , 单 击 “ 下 一 步 ” 按 
钮 ,出 现 如 图 4-153 所 示 的 界面 。 


下 面 的 日 历 中 以 黑体 显示 的 日 期 是 所 有 还 原点 可 用 的 日 期 。 此 列表 显示 对 选择 的 日 期 可 用 的 还 原点 。 


可 能 的 还 原点 类 别 包括 ; 系统 检查 点 ( 悠 的 计算 机 创建 的 计划 好 的 还 原点 ) ,手动 还 原点 (您 创建 的 还 原点 ) > 
以 及 安装 还 原点 (在 特定 程序 安装 时 自动 创建 的 还 原点 )。 


1. 在 此 日 历 中 ， 单 击 黑体 明示 的 日 期 2. 在 列表 中 ， 单 击 一 个 还 原点 。 


2005 年 8 月 回回 ”zo0s4#esz46 


21:11:57 test 
19:10:43 Installed EasyRecovery Pr 


[< 上 - 步 6B) ] CEN [ 


图 4-153 选择 还 原点 
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(2) 选择 日 期 和 还 原点 ,连续 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 4-154 所 示 的 界面 。 
您 系统 还 原 


选择 的 还 原点 : 


2005 年 8 月 24 日 
21:11 test 


此 操作 不 会 使 你 丢失 最 近 的 工作 ， 例如 已 保存 的 文档 或 电子 邮件 ， 并 且 此 操作 是 元 全 可 这 的 。 


ESA. “RAE AM Windows. 在 还 原 完成 后 Windows 用 上 面 显示 的 日 期 和 时 间 的 设置 重 
局 动 。 


BE: 在 继续 前 ， 保 存 您 的 改动 并 关闭 所 有 打开 的 程序 - 


在 关闭 计算 机 之 前 系统 还 原 可 能 需要 一 些 时 间 收 集 关 于 所 选择 的 还 原点 的 信息 


a ae ESD wo 


A 4-154 确认 还 原点 
(3) 单 击 “ 下 一 步 ” 按 钮 ,系统 进行 还 原 ,如 图 4-155 所 示 。 


4155 ”系统 还 原 


(4) 系统 还 原 完 毕 后 ,自动 重新 启动 .出现 如 图 4-156 所 示 的 界面 。 
(5) 单 击 “ 确 定 ” 按 钮 ,成 功 恢复 到 指定 的 还 原点 。 


4.12.3 Ghost 备份 


现在 的 操作 系统 越 来 越 庞大 ,安装 时 间 也 越 来 越 长 ,一旦 系统 朋 溃 , 重 装 系统 是 一 件 费 
心 费 力 的 事情 ,Ghost 能 在 短 短 的 几 分 钟 里 恢复 原 有 备份 的 系统 。 

“一 键 GHOST? 是 一 款 智能 的 C 盘 备 份 和 恢复 工具 ,在 “一 键 GHOST” 界 面 中 只 需 按 
下 相应 热 键 , 调 人 Ghost 程序 ,自动 备份 或 恢复 C 盘 数 据 。 操 作 步 又 如 下 。 
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您 的 计算 机 成 功 被 恢复 到 : 


2005 年 8 月 24 日 
test 


如 果 此 恢复 不 能 更 正 问题 ， 您 可 以 : 
。 选择 另 一 个 还 原点 
。 擅 销 此 恢复 


图 4-156 ”系统 恢复 成 功 
(1) 运行 “一 键 GHOST” 安 装 文件 ,出 现 如 图 4-157 所 示 的 安装 界面 。 
区 可 


P, -BGHOST 安装 程序 


欢迎 使 用 一 键 GHOST 硬盘 版 


V2009.09.09 正式 版 


支持 64 位 的 Windows7 、Vista 、2008 
更 新 GRUB4DOS 和 UMBPCI 为 最 新 版 
增加 人 限 制 扩展 功能 "选项 (设置 -> 限制 ) 以 防止 误 备份 
增加 -装机 方案 "( 设 置 -> 方案 ), 以 方便 装机 人 员 快速 切换 
增加 "恢复 到 初始 设置 "( 设 置 左下 角 ) ,以 方便 快速 路 原 
增加 错误 10027GHOST8 恢 重 GHOST11 映 像 ) 的 提示 
增加 对 新 型 号 HP 和 SONY 专 属 分 区 的 识别 
增强 RAMDRIVE 模 式 的 适应 性 ,减少 错误 和 垃 坝 文件 产生 
修正 对 持 戎 数 设置 无 效 的 BUG 

GHI 时 “Invalid switch’ UG 
—#GHOST Betas see ee, sas 
2009.09.09 优盘 版 增加 请 插入 U 盘 的 取消 按钮, 以 允许 手动 安装 

ad 光盘 版 使 用 UltralSO 最 新 版 9 3.5 制 作 


图 4-157 安装 界面 


(2) 连续 单 击 “ 下 一 步 ” 按 钮 ,最 后 出 现 如 图 4-158 所 示 的 安装 完成 界面 。 
(3) 单 击 “ 完 成 ”按钮 ,出 现 如 图 4-159 所 示 的 运行 界面 。 
(4) 单 击 “ 备 份 ”按钮 ,系统 重启 ,出现 如 图 4-160 所 示 的 启动 界面 。 
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DOS 之 家 


doshome.com 


请 选择 : 
T) 立即 运行 —BEGHOST 


4-158 ”安装 完成 界面 


回 一 备份 系统 
Lae TIA HE 


BaP SeKOMNGe 


帮助 ”报告 TA 


一 键 GHOST v2009.09.09 


e— RG, BAREEN MES LEHI + 
OME em BReeGHO. MES ITEA 


© GHOST 11.2 


© DOS 工 具 箱 


取消 


SR, 我 格 为 你 安排 一 切 , 你 去 休息 吧 ! | 


4-159 运行 界面 


(5) 选择 “一 键 GHOST”? 选 项 并 按 Enter 键 ,出 现 如 图 4-161 所 示 的 GRUB4DOS 界面 。 

(6) 选择 第 一 项 并 按 Enter HE. A“ MS-DOS 一 级 菜单 ”, 如 图 4-162 所 示 。 

(7) 选择 第 一 项 并 按 Enter Ht dt AS MS-DOS 二 级 菜单 ”, 如 图 4-163 所 示 。 

(8) 选择 第 一 项 并 按 Enter 键 ,进入 “一 键 GHOST” 主 菜单 ,如 图 4-164 所 示 。 

(9) 选择 “一 键 备份 C 盘 ? 选 项 并 按 Enter 键 ,出 现 “ 一 键 备份 C 盘 ? 提 示 框 ,如 图 4-165 
所 示 。 按 KK 键 ,自动 备份 C 盘 。 
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WinXP/2686/2683 
Hin7/Vista/2888 
Win98/95/ME/DOS 
CD/DUD 1 
CD/DUD 2 


Myiso.iso 
My img. img 
Restart 


SCE Shutdown 


图 4-160 启动 界面 图 4-161 GRUB4DOS 界面 


Microsoft MS-DOS 7.1 Startup Menu 


1KEY GHOST 8.3 
GHOST 11.2 
GHOST 8.3 

DOS TOOLS 
DISKGEN 
PQMAGIC 

MHDD 

bos 


ONDUN A W N| 


Enter a choice: 1 


A 4-162 “MS-DOS 一 级 菜单 "界面 


SATA only 
3. USB-DISK EHCI 2. 

4. USB-DISK OHCI 1. 

5. USB-DISK UHCI 1. 

6. USB-CD/DUD EHCI 

7. USB-CD/DUD OHCI 1. 

8. USB-CD/DUD UHCI 1. S (CD/DVD) WEI 1.1 


EL CE ECU E 


Enter a choice: 1 


4-163 “MS-DOS 二 级 菜单 "界面 图 4-164 “一 键 GHOST" 主 菜单 


ao 当 系 统 骨 溃 或 出 现 问题 时 ,可 以 使 用 "一 键 GHOST” 程 
系统 的 过 程 与 备份 系统 的 过 程 相似 ,只 需 在 主 界面 中 选择 “一 键 恢 复 
示 的 界面 中 按 K 键 , 即 可 快速 恢复 。 恢 复 过 程 如 图 4-167 所 示 。 


将 备份 快速 恢复 。 恢 复 
C 盘 ”, 在 如 图 4-166 所 


图 4-165 “一 键 备份 C 盘 ? 提 示 框 图 4-166 “一 键 恢复 CR ETE 
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Symantec Ghost 110,2 Copyright (C) 1998-2007 Symantec Corporation, M rights reserved, 


A 4-167 恢复 C 盘 过 程 


4.13 数据 急救 


对 备份 数据 的 恢复 比较 容易 ,但 是 如 果 数 据 没有 备份 或 者 连同 备份 一 起 丢失 了 ,或 者 对 
磁盘 进行 了 误 格 式 化 . 误 分 区 操作 ,或 者 由 于 病毒 而 使 某 个 分 区 消失 ,这 时 就 可 以 使 用 专门 
的 数据 恢复 工具 ,实现 硬盘 数据 修复 功能 。 


4.13.1 数据 急救 原理 


数据 急救 就 是 将 被 删除 的 文件 重新 找 回 。 数 据 被 删除 或 硬盘 被 格式 化 后 ,文件 并 没有 
被 真正 删除 ,文件 的 结构 信息 仍然 保留 在 硬盘 上 ,除非 新 的 数据 将 其 覆盖 。 

数据 恢复 工具 使 用 模式 识别 技术 找 回 位 于 硬盘 上 不 同 地 方 的 文件 碎 块 ,并 根据 统计 信 
息 对 这 些 文件 碎 块 进行 重 整 ,接着 在 内 存 中 建立 一 个 虚拟 的 文件 系统 并 列 出 所 有 的 文件 和 
目录 。 即 使 整个 分 区 都 不 可 见 ,或 者 硬盘 上 只 有 非常 少 的 分 区 维护 信息 ,只 要 在 删除 文件 、 
格式 化 硬盘 等 操作 后 ,没有 在 对 应 分 区 内 写 人 大 量 新 信息 ,数据 恢复 工具 都 可 以 高 质量 地 找 
回 文 件 。 

为 了 提高 数据 的 修复 率 ,一 旦 发 现 异常 的 文件 丢失 ,或 者 某 个 磁盘 上 的 文件 全 部 丢失 ， 
应 当 立 刻 停止 任何 写 人 操作 (不 要 新 建 任何 文件 ,也 不 要 保存 任何 文件 ) 。 


4.13.2 数据 恢复 工具 EasyRecovery 


EasyRecovery 使 用 起 来 非常 方便 ,并 具有 多 项 起 死 回 生 的 功能 : 
。 修复 主 引导 扇 区 (MBR) 。 

。 修复 BIOS 参数 块 (BPB) 。 

。 修复 分 区 表 。 

。 修复 文件 分 配 表 (FAT) 或 主 文件 表 (MFT) 。 

。 修复 根 目录 。 
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当 硬 盘 经 过 如 下 操作 后 ,EasyRecovery 也 可 以 修复 数据 : 

。 受 病毒 影响 。 

。 格式 化 或 分 区 。 

。 误 删 除 。 

。 由 于 断 电 或 瞬时 电流 冲击 造成 数据 损坏 。 

。 由 于 程序 的 非 正常 操作 或 系统 故障 造成 数据 损坏 。 

1. 找 回 丢失 的 文件 

(1) 运行 EasyRecovery, 出 现 如 图 4-168 所 示 的 程序 主 界面 。 


磁盘 诊断 


数据 修复 


文件 修复 
ntrack = 
邮件 修复 
软件 更 新 


和 教 援 中 心 


图 4-168 系统 主 界面 
(2) 单 击 “ 数 据 修 复 ”, 出 现 如 图 4-169 所 示 的 界面 。 


数据 修复 


AdvancedRecovery | Deleted! 


a 使 用 高 级 选项 自 定义 数据 © 查找 并 恢复 已 删除 的 文件 
RENE 
FormatRecovery | xq RawRecovery 
?从 一 个 已 将 式 化 的 卷 中 履 Rr 不 依 界 任何 交 件 系统 结构 
复 文件 | 信息 进行 恢复 ， 
ResumeRecovery | mm EmergencyDiskette 
& 名 机 保 在 的 所 QeTTSMRAsI ER 


图 4-169 数据 修复 界面 
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(3) 单 击 DeleteRecovery, 出 现 如 图 4-170 所 示 的 对 话 框 。 


TO EasyRecovery | 


数据 修复 


选择 一 个 分 区 以 恢复 已 删除 的 文件 并 选择 [下 一 步 ] 开始 扫描 文件 . 选择 [取消 ] 退 出 该 工具 . 


(C:\) FAT 32 (19.14 GB) DeletedRecovery s 
I (D:\) FAT 32 (14.65 GB) DeletedRecovery 工具 提供 给 你 快速 存 职 已 删除 的 文件 的 功能 . 
E (Œ:\) NTFS (4.49 GB) | 你 能 够 为 已 删除 的 文件 执行 快速 扫 撕 ， 或 彻底 的 完全 扫描 .你 同 一 
桩 能 鸟 通 过 选项 输入 文件 过 源 器 宇 审 ， 也 可 以 使 用 通配符 ， 以 快 
种 恢 复 指定 名 称 的 文件 . 


快速 和 完全 扫描 

| 在 默认 情况 下 ，DeletedRecovery 工具 格 对 分 区 执行 一 次 快速 扫 Y 
厂 zen 

文件 过 涛 器 : 


fee 


PALL Files eo] z] 
oum ers ann 


A 4-170 选择 分 区 


(4) 选择 丢失 文件 以 前 存放 的 磁盘 分 区 (如 下 盘 )。 如 果 在 窗口 右 下 角 的 “文件 过 滤器 ” 
中 输入 或 选择 文件 类 型 ,可 以 缩小 恢复 的 范围 ,提高 精确 度 。 单 击 “ 下 一 步 ” 按 钮 ,进行 扫描 ， 
如 图 4-171 所 示 。 


最 近 的 文件 : buttonE3. bmp 


4-171 扫描 文件 


(5) 扫描 结束 后 ,EasyRecovery 列 出 可 以 修复 的 文件 列表 ,如 图 4-172 所 示 。 

(6) 选择 要 修复 的 文件 (如 test. txt) , 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 4-173 所 示 的 对 
话 框 。 

(7) 设置 恢复 文件 的 存放 位 置 ,注意 这 个 位 置 一 定 不 要 与 原来 的 文件 在 同一 个 分 区 中 ， 
否则 一 旦 恢复 失败 ,原来 的 文件 就 可 能 永远 找 不 回来 了 。 单 击 “ 浏 览 ” 按 钮 ,在 出 现 的 对 话 框 
中 选择 D 盘 , 单 击 “ 下 一 步 ? 按 钮 ,将 test. txt 文件 复制 到 D 盘 根 目录 。 

(8) 在 D 盘 根 目录 中 找到 test. txt 文件 ,恢复 成 功 。 

2. 恢复 被 格式 化 的 硬盘 

硬盘 被 病毒 或 恶意 程序 格式 化 后 ,只 要 抢救 及 时 , 绝 大 多 数 情况 下 都 可 以 将 硬盘 中 的 数 
TER 
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TO EasyRecovery A 


数据 修复 


选中 你 想 要 恢复 的 文件 , 选择 [下 一 步 ] 进入 到 选择 目标 位 置 屏幕. 选择 [上 一 步 | 返回 到 分 区 选择 屏幕 . 选 
(RA) 退出 该 工具 


日 bootex.log 2.83 KB 9/2/2005 
[M] test. txt OFF 10/22/2005 

口 hein xls. 124.50 KB 9/23/2005 Dx 
O hein xls... 115.50 KB 4/22/2005 DK 
C setup. RAR 116.11 KB 4/26/2005 DX 


D 


= OG A users 
=- (1G 90000804-6000- 
SO System Volume Inform 
= (CG restore{AEOTC341 
@ Rro 
OG we a 


< a 


< > 
0 字 节 在 0 的 文件 已 标记 358.95 KB 在 5 的 文件 已 显示 
厂 使 用 过 湖 器 memo) are | ”查看 文件 MM] | 


图 4-172 列 出 可 以 修复 的 文件 


TO EasyRecovery aua 


数据 修复 


选择 要 复制 数 掺 的 目标 位 置 . 选择 [下 一 步 ] 开始 复制 文件 . 选择 [上 一 步 ] 返回 到 标识 饮 复 文 件 屏 豆 . 选 


所 [取消 ] 退出 该 工具 . 
恢复 目标 选项 
© 恢复 到 本 地 驱动 器 | aa 
C 恢复 到 一 个 re 服务 器 | FTP 选 项 
厂 创建 Zip 压缩 包 tip 文件 大 小 限制 QB) 
恢复 撤 计 信息 Re 

文件 :1 厂 生成 恢复 报告 

总 计 大 小 : 2.83 B 目标 浏览 


4-173 选择 恢复 文件 的 存放 位 置 


在 “数据 修复 ”中 单 击 FormatRecovery, 出 现 如 图 4-174 所 示 的 对 话 框 。 

选择 被 格式 化 的 磁盘 分 区 , 单 击 * 下 一 步 ? 按 钮 , EasyRecovery 开始 扫描 。 扫 描 结束 后 ， 
列 出 所 有 找到 的 文件 ,选中 所 有 的 文件 和 文件 夹 , 单 击 “下 一 步 ? 按 钮 ,然后 设置 目标 位 置 到 
其 他 较 大 的 驱动 器 , 即 可 将 被 格式 化 磁盘 分 区 中 的 所 有 文件 恢复 到 其 他 驱动 器 中 。 

3. 文件 修复 

(1) 在 EasyRecovery 主 界面 中 单 击 “文件 修复 ?按钮 ,出 现 如 图 4-175 所 示 的 界面 。 

(2) 要 修复 某 一 种 类 型 的 文件 ,必须 先 关 闭 该 应 用 程序 ,如 要 修复 Word 文件 , 先 关闭 
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[erm 


数据 修复 


选择 你 已 格式 化 的 分 区 , 选择 先前 的 文件 系统 并 点 击 [下 一 步 ] 开始 扫 撕 文 诈 .选择 [ 职 消 ] 退出 该 工具 . 


(C:\) FAT 32 (19.14 GB) 
E O:\) FAT 32 (14.65 GB) 
E Œ:\) NTFS (4.49 GB) 


ormatRecovery 
ormatRecovery 工具 允许 你 从 一 个 分 区 中 恢复 数据 ， 通 常 在 意外 格 
:化 或 重新 安装 时 使 用 这 种 类 型 将 忽略 现存 的 文件 系统 结构 并 搜 
与 先前 的 文件 


前 的 文件 系统 下 拉 菜 单 允许 你 为 你 的 分 区 选择 先前 的 文件 系统 类 
. 查看 帮助 了 解 更 多 信息 . 


文件 修复 器 
~ AccessRepair i ExcelRepair 
FRE eset Microsoft E EMEN Microsoft 
Access 数据 库 Excel 电子 表格 
== PowerPoi ir WordRepair 
gm uicrosore FR SEIEN wicrosore 
PowerPoint 简报 Word 文档 


Zi ir 
Kia 修复 损坏 或 破碎 的 Zip 
FO XH 


4-175 ”文件 修复 界面 


Word 程序 ,然后 单 击 WordRepair, 出 现 如 图 4-176 所 示 的 对 话 框 。 
G) 选择 要 修复 的 文件 , 按 向 导 提 示 一 步 一 步 执行 , 即 可 修复 被 损坏 的 文件 。 


4.13.3 文件 的 彻底 销毁 


如 果 想 将 某 些 资 料 彻底 删除 ,并 且 使 用 恢复 软件 也 无 法 恢复 ,这 时 就 需要 使 用 文件 粉 
碎 机 。 

一 般 情况 下 , Windows 在 删除 文件 时 并 没有 将 文件 真正 从 硬盘 上 抹 去 ,而 仅仅 是 标记 
了 “可 写 ” 来 表明 “这 块 空间 可 以 覆盖 ”, 如 果 没有 别 的 文件 覆盖 这 块 区 域 , 这 些 文件 一 直 保 留 
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[Crm 


Rees 
ERRATE SOLE ALS [F8] RA. 
要 修复 的 文件 | 
XE KER azem | | 
册 除 文件 [B] | 
AR | 
EASE PAOLA 
修复 当前 这 此 文件 夫 中 的 所 有 文件 | 
C EFA HRPARRA EESE 
MAXHE | 


um ecm em «a» è | 


图 4-176 Word 文件 修复 


着 。 文 件 粉 碎 机 的 原理 就 是 在 被 删除 文件 所 占 的 空间 处 重新 写 一 些 东西 ,以 覆盖 原来 的 文 
件 ,使 恢复 软件 失去 作用 。 

File Wipe 是 一 款 很 好 的 文件 粉碎 机 , 它 可 以 将 要 删除 的 文件 随机 产生 十 次 数据 进行 粉 
碎 , 使 要 删除 的 数据 彻底 消失 。 


oo von oo 王 
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. 简 述 计算 机 安全 保护 的 目的 及 其 体现 。 
. 简 述 计算 机 网 络 面临 的 一 般 安 全 问题 。 
. 简 述 网 络 信息 安全 与 保密 所 面临 的 威胁 。 
. 黑客 实现 人 侵 攻击 的 过 程 分 哪 几 步 ? 

. 简 述 黑客 软件 的 分 类 。 

. 简 述 计算 机 病毒 的 特点 与 分 类 。 


计算 机 病毒 三 大 模块 的 作用 是 什么 ? 


. 简 述 计算 机 病毒 的 触发 条 件 。 

. 简 述 计算 机 反 病 毒 技术 。 

. 上 机 实现 宏 病毒 的 预防 。 

. 上 机 实现 脚本 病毒 的 预防 。 

. 简 述 木马 的 原理 和 种 类 。 

. 上 机 实现 冰河 的 清除 与 反 入 侵 。 
. 上 机 实现 木马 的 检测 与 清除 。 
. 如何 预防 木马 ? 
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16. 
17. 
18. 
19. 
20. 
21. 
22. 
23. 
24, 
25. 
26. 
27. 
28. 
29. 
30. 
31. 
32. 


什么 是 漏洞 ?如 何 修补 漏洞 ? 

简 述 扫描 器 的 作用 。 

上 机 使 用 X-Scan 进行 漏洞 扫描 。 
简 述 网 络 监听 原理 。 

如 何 实 现 网 络 监听 的 监测 和 预防 。 
什么 是 拒绝 服务 攻击 ? 

如 何 防范 拒绝 服务 攻击 ? 
什么 是 共享 攻击 ? 

上 机 实现 共享 的 禁用 。 

简 述 ARP 攻击 及 其 防范 。 

简 述 数据 库 攻击 及 其 防范 。 

简 述 防火 墙 的 目的 和 局 限 。 

简 述 防火 墙 的 主要 技术 。 

上 机 配置 天 网 防火 墙 。 

简 述 入 侵 检 测 系 统 的 基本 结构 。 
上 机 实现 数据 备份 和 还 原 。 

上 机 实现 数据 恢复 。 
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普通 用 户 在 网 络 上 主要 进行 电子 邮件 的 收发 ,使 用 浏览 器 进行 信息 浏览 以 及 通过 网 络 
通信 软件 进行 信息 交流 。 本 章 主要 介绍 在 这 些 操作 中 存在 的 安全 隐患 及 其 防范 与 消除 。 


5.1 电子 邮件 安全 防范 


E-mail 是 Internet 上 最 早出 现 ,也 是 最 流行 的 应 用 之 一 ,许多 信息 的 交流 都 通过 E-mail 
进行 ,甚至 一 些 重要 电子 文档 的 传送 也 由 其 完成 ,因而 E-mail 的 安全 问题 尤其 值得 重视 。 


5.1.1 A E-mail 信箱 


A fie E-mail 信箱 的 主要 目的 是 窃取 信箱 的 密码 ,入 侵 的 方式 主要 有 针对 POPS 邮箱 的 
密码 猜测 攻击 和 针对 Web 邮箱 的 密码 猜测 攻击 。 

1. 针对 POP3 邮箱 的 密码 猜测 攻击 

这 是 对 E-mail 信箱 最 常用 ,也 是 最 快速 的 攻击 方法 。 在 使 用 POP3 服务 时 ,用 户 发 送 
密码 信息 在 服务 器 端 进行 身份 验证 。 因 此 攻击 者 可 以 通过 发 送 POP3 连接 登录 请 求 和 密码 
信息 来 猜测 用 户 邮 箱 的 密码 。 由 于 大 多 数 POP3 服务 器 没有 采取 错误 连接 次 数控 制 措施 ， 
使 得 利用 POP3 服务 进行 字典 穷 举 攻击 变 得 简单 易 行 。 

【 例 5-1] 利用 NoPassword 破解 POP3 邮箱 密码 。 

(1) 运行 NoPassword ,出 现 如 图 5-1 所 示 的 对 话 框 。 


服务 器 地 址 
账号 名 称 


上 限 |9999999 © POP3 


图 5-1 NoPassword 新 任务 对 话 框 


(2) 在 “服务 器 地 址 ”中 填 和 人 POP3 服务 器 地 址 ,在 “账号 名 称 ” 中 填 入 POPS 邮箱 的 账 
户 名 ,在 “服务 器 类 型 "中 选择 POP3, 单 击 “ 确 定 ” 按 钮 ,出 现 如 图 5-2 所 示 的 窗口 。 

(3) 执行 “攻击 ”|* 设 定 攻击 线程 参数 ”命令 ,出 现 如 图 5-3 所 示 的 对 话 框 。 

(4) 拖 动 上 方 的 “同时 最 大 展开 线程 数目 ”至 最 右 端 .表示 同时 打开 100 个 攻击 线程 以 增 
加 攻击 速度 ,在 “攻击 线程 的 优先 级 ”中 选择 “优先 ”以 提高 攻击 的 速度 , 单 击 OK 按钮 结束 设置 。 

(5) 执行 “攻击 ”1“ 开 始 攻击 ”命令 ,开始 进行 攻击 。 
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~ 无 标题 — WoPassword 


XFO REA SEV HHW 
Colyer? 


主机 :192.168.0.1 


账号 :test 协议 :POP3 医 动 攻击 线程 数 :0 


攻击 密码 区 同 : 0~ 9999999 


攻击 速度 0.00 个 密码 / 秘 数字 
图 5-2 NoPassword 程序 主 窗口 


设 定 攻击 线程 考 数 
同时 最 大 展开 线程 数目 


攻击 线程 的 优先 级 


图 5-3 “ 设 定 攻 击 线程 参数 ”对 话 框 
2. 针对 Web 邮箱 的 密码 猜测 攻击 
对 于 Web 方式 登录 的 E-mail 服务 器 ,尽管 


管 可 以 防止 攻击 者 使 用 POP3 服务 猜测 邮箱 
密码 ,但 由 于 用 户 的 账号 和 密码 是 以 HTTP 请 求 方式 发 送 至 E-mail 服务 器 的 ,攻击 者 可 以 
通过 发 送 HTTP 请 求 来 进行 密 


p FH 


人 码 猜测 
针对 Web 邮箱 的 密码 猜测 攻击 可 以 使 用 “ 漳 雪 ”进行 破解 ,如 图 5-4 所 示 
% HH -DanSnow (Beta 7) DER) 
文件 @) RED SEW KRW MEW 导航 QD Te IAD ATO EHW 
ERITEENETE ACA EI 
Address | =| 


rVHEINY 信 息 对 抗 与 


Element Type | Consit | Dictionar; A || Form Verb Submit 
< > 
[Action of Current URL | History of Current URL Flag 
< > 
充 毕 小 榕 作品 1995-2000 


图 5-4 漳 雪 程序 界面 
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3. 抵御 E-mail 口令 攻击 的 方法 
抵御 E-mail 口令 攻击 的 最 佳 方 法 是 加 强 邮 箱 密码 的 安全 性 ,选择 数字 、 英 文字 母 和 特 
殊 字符 的 组 合 ,并 定期 更 换 密码 。 


5.1.2 E-mail 炸弹 


炸弹 攻击 的 基本 原理 是 利用 工具 软件 ,集中 在 一 段 时 间 内 ,向 目标 机 发 送 大 量 垃圾 信 
息 ,或 是 发 送 超出 系统 接收 范围 的 信息 ,使 对 方 出 现 负 载 过 重 、 网 络 堵塞 等 状况 ,从 而 造成 目 
标的 系统 崩溃 以 及 拒绝 服务 。 
网 络 中 最 常见 的 炸弹 有 : IP 炸弹 、E-mail 炸弹 、Java 炸弹 和 硬盘 炸弹 。 
。 IP 炸弹 : 利用 Windows 系统 协议 的 漏洞 进行 攻击 ,针对 IP He hk PEAT“ Se KE”. EA 
统 断 线 、 蓝 屏 、 死 机 或 重新 启动 。 
© E-mail 炸弹 : 以 地 址 不 详 、 容 量 庞大 的 邮件 反复 发 送 到 被 攻击 的 信箱 ,造成 信息 挤 
爆 , 不 能 收 到 信件 ,严重 的 会 使 邮件 服务 器 瘫痪 ,不 能 正常 工作 。 
。 Java 炸弹 : 有 些 聊天 室 中 可 以 直接 发 送 HTML 语句 ,攻击 者 通过 发 送 恶 意 代码 ,使 
具有 漏洞 的 用 户 计算 机 出 现 蓝屏 、 浏 览 器 打开 无 数 个 窗口 或 显示 巨大 的 图 片 , 最 终 
使 计算 机 系统 资源 耗 尽 而 死机 。 
。 硬盘 炸弹 : 运行 后 造成 假 0 道 损坏 ,使 硬盘 不 能 启动 ,是 炸弹 中 危害 性 最 大 的 一 种 。 
1，E-mail 炸弹 攻击 
在 各 种 炸弹 攻击 中 ,邮件 炸弹 攻击 是 最 常见 的 攻击 方式 。 利 用 相关 工具 ,任何 一 个 刚 上 
网 的 新 手 ,都 可 以 非常 容易 地 实现 这 种 攻击 ,因为 一 个 邮件 炸弹 程序 只 需要 短 短 几 十 行 就 可 
以 实现 。 事 实 上 ,各 种 层出不穷 的 邮件 炸弹 工具 , 正 是 这 种 攻击 方式 广泛 流传 的 根源 。 
邮件 炸弹 造成 的 危害 是 严重 的 ,由 于 邮件 是 需要 空间 来 保存 的 ,而 到 来 的 邮件 信息 也 需 
要 系统 来 处 理 , 过 多 的 邮件 会 加 剧 网 络 连接 负担 ,消耗 大 量 的 存储 空间 ; 过 多 的 投递 会 导致 
系统 日 志文 件 变 得 巨大 ,其 至 溢出 文件 系统 ,这 将 会 给 许多 操作 系统 带 来 危险 ,除了 操作 系 
统 有 崩溃 的 危险 之 外 ,由 于 大 量 垃圾 邮件 集中 涌 来 ,将 会 占用 大 量 的 处 理 器 时 间 与 带宽 , 造 
成 正常 用 户 的 访问 速度 急剧 下 降 。 对 于 个 人 的 免费 邮箱 来 说 ,由 于 其 邮箱 容量 是 有 限制 的 ， 
邮件 容量 一 旦 超过 限定 容量 ,系统 就 会 拒绝 服务 ,也 就 是 常 说 的 邮箱 被 “ 撑 爆 ”了 。 
【 例 5-2】 利用 Wsbomb 进行 E-mail 炸弹 攻击 。 
(1) 运行 Wsbomb ,出 现 如 图 5-5 所 示 的 界面 。 
(2) DNS 服务 器 可 自 定义 为 高 速 DNS 地 址 ,也 可 以 取 本 机 的 DNS 地 址 。 发 送 次 数 为 
每 个 邮箱 的 重复 发 送 次 数 。 
G) 在 左边 的 “Email 地 址 列表 ”中 输入 对 方 的 E-mail 地 址 ,一 行 一 个 地 址 ,可 以 同时 攻 
击 多 个 邮箱 。 
(4) 分 别 在 “邮件 主题 *"“ 发 送 人 ”和 “邮件 内 容 ” 中 填 入 相应 的 信息 ,其 中 “发 送 人 ”的 
E-mail 地 址 可 随意 更 改 , 包 含 @ 符 号 就 行 了 。 
(5) 单 击 发送” 按钮 即 可 。 
2. 抵御 E-mail 炸弹 攻击 
排除 “邮件 炸弹 ”的 基本 方法 就 是 直接 将 “炸弹 ”邮件 从 邮件 服务 器 中 删除 。 目 前 ,大 部 
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件 炸弹 


DNS 地 址 : P 邮件 主题 : | 请 不 要 乱 发 垃圾 邮件 ! 
超时 ( 秒 ): [10 发 送 次 数 : |10 发 送 人 : |webmaster<webmaster@wsmail. com> 
Email 地 址 列表 : 邮件 内 容 : 


请 不 要 乱 发 垃圾 邮件 ! 


随心 工作 室 出 品 所 Paice, 由 3, http://www. aslike. net 


图 5-5 Wsbomb 程序 界面 


分 邮件 处 理 软件 都 具有 “远程 邮箱 管理 ”功能 ,通过 该 功能 可 以 直接 对 邮件 服务 器 中 的 邮件 
进行 删除 ,收取 等 操作 。 

在 Foxmail 中 执行 “工具 ”| 远程 邮箱 管理 ”命令 ,出现 如 图 5-6 所 示 的 “远程 邮箱 管理 ” 
窗口 ,Foxmail 连接 到 邮件 服务 器 上 , 取 回 服务 器 中 邮件 的 信息 。 根 据 得 到 的 具体 邮件 信 
息 , 给 服务 器 上 的 邮件 打上 “和 暂 不 收取 ”“ 永 不 收取 ”“ 收 取 ”“ 收 取 删 除 ”“ 删 除 ”5 种 不 同 
的 标记 。 对 付 “ 邮 件 炸弹 ”, 直 接 标记 为 “删除 ”, 就 可 以 在 服务 器 上 直接 删除 。 

[远程 邮箱 管理 ox) 


RHO) RSS) SEV 选项 @) 


2 Pio © a w ? e- 
行 上 邮件 头 ERRE ACTIN BR KREE 新 邮件 ”所 有 邮件 | 邮件 账户 XH 
| 


| 选中 20 封 邮件 ， 共 有 155 SHHBt 按 [Space], [Insert], [Enter], [Del] [Backspace] 键 改变 收取 状态 ， 按 “执行 ” 


5-6 “远程 邮箱 管理 ”窗口 
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5.1.3 反 垃 圾 邮件 


垃圾 邮件 的 种 类 十 分 繁多 ,可 能 是 企业 和 公司 新 产品 的 宣传 广告 ,可 能 是 某 个 商业 网 站 
的 链接 ,可 能 是 反动 组 织 的 政治 言论 ,也 可 能 是 携带 有 病毒 .木马 的 恶意 邮件 。 图 5-7 是 中 
国 互联 网 协会 反 垃圾 邮件 中 心 对 2007 年 中 国 网 民 收 到 的 垃圾 邮件 的 统计 , 列 出 的 垃圾 邮件 
种 类 有 十 数 种 之 多 ,其 中 商业 广告 类 垃圾 邮件 排名 居 首 位 。 


用 户 收 到 过 的 垃圾 邮件 种 类 


网 上 购物 17.57% 
网 上 赚钱 12.55% 

情趣 用 品 

IT 产品 推销 

订房 / 订 票 /旅游 

销售 邮件 地 址 、 数 据 


色情 、 暴 力 相 关 


邮件 钓鱼 等 欺诈 信息 
病毒 
政治 、 种 族 


10.58% 


0% 4% 8% 12% 16% 20% 24% 
N=10005 


©2008.01 中 国 互联 网 协会 反 垃圾 邮件 中 心 (www.anti-spam.cn) 


5-7 垃圾 邮件 种 类 


1. 垃圾 邮件 的 危害 


垃圾 邮件 给 互联 网 及 广大 用 户 带 来 了 很 大 的 影响 。 这 种 影响 不 仅仅 是 人 们 需要 花费 大 
量 的 时 间 来 处 理 垃 圾 邮件 、 占 用 系统 资源 等 ,而 且 也 带 来 了 很 多 的 安全 问题 。 

垃圾 邮件 占用 了 大 量 的 网 络 资源 ,一 些 邮 件 服务 器 因为 安全 性 差 ,被 作为 垃圾 邮件 转发 
站 而 被 警告 . 封 IP 地 址 等 事件 时 有 发 生 , 大 量 消耗 的 网 络 资源 使 得 正常 的 业务 运作 变 得 缓 
慢 。 随 着 国际 上 反 垃圾 邮件 事业 的 发 展 ,组 织 间 黑 名 单 共 享 , 使 得 无 率 的 服务 器 被 大 范围 地 
屏蔽 ,这 无 疑 会 给 正常 用 户 的 使 用 造成 严重 的 影响 。 

更 为 严重 的 是 ,现在 的 垃圾 邮件 与 入侵、 病毒 等 的 结合 也 越 来 越 密切 ,垃圾 邮件 伍 然 已 
经 成 为 黑客 发 动 攻 击 的 重要 平台 。 例 如 “清醒 变种 H” 蠕 虫 病毒 , 它 在 系统 目录 里 释放 多 份 
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病毒 体 ,向 外 大 量 散 发 病毒 邮件 ,传播 速度 极 快 ;“ 瑞 波 变种 XG” 集 蠕虫 后门 等 功能 为 一 
身 , 恶 意 攻击 者 可 以 利用 此 病毒 远程 控制 中 毒 的 计算 机 ,对 外 发 动 攻 击 或 偷窃 用 户 的 资 
料 等 。 

诈骗 分 子 还 以 垃圾 邮件 的 形式 大 量 发 送 欺 诈 性 邮件 ,这 些 邮 件 多 以 中 奖 、 顾 问 、 对 账 等 
内 容 引诱 用 户 在 邮件 中 填 人 金融 账号 和 密码 ,或 是 以 各 种 紧迫 的 理由 要 求 收 件 人 登录 某 网 
页 提交 用 户 名 、 密 码 .身份 证 号 .信用 卡号 等 信息 ,继而 盗窃 用 户 资金 。 例 如 一 种 骗取 美邦 银 
行 (Smith Barney) 用 户 账号 和 密码 的 “网 络 钓鱼 "电子 邮件 ,该 邮件 利用 了 IE 的 图 片 映射 地 
址 欺骗 漏洞 ,精心 设计 脚本 程序 ,用 一 个 显示 假 地 址 的 弹出 窗口 遮挡 住 了 I 浏览 器 的 地 址 
F ,使 用 户 无 法 看 到 此 网 站 的 真实 地 址 。 当 用 户 使 用 未 打 补 丁 的 Outlook 打开 此 邮件 时 , 状 
态 栏 显示 的 链接 是 虚假 的 。 当 用 户 单 击 链接 时 ,实际 连接 的 是 钓鱼 网 站 ,该 网 站 页 面 酷似 
Smith Barney 银行 网 站 的 登录 界面 ,而 用 户 一 旦 输入 了 自己 的 账号 密码 ,这 些 信息 就 会 被 
黑客 窃取 。 

2. 反 垃 圾 邮件 技术 

反 垃圾 邮件 通常 采用 关键 词 过 滤 、 黑 白 名 单 、 基 于 规则 的 过 滤 、Hash 技术 、 智 能 和 概率 
系统 等 技术 。 

采用 关键 词 过 滤 技 术 时 ,通常 是 创建 一 些 与 垃圾 邮件 关联 的 单词 表 来 识别 和 处 理 垃圾 
邮件 。 某 些 关键 词 大 量 出 现在 垃圾 邮件 中 ,如 test, 这 种 方式 比较 类 似 反 病 毒 软 件 利 用 的 病 
毒 特征 , 它 的 基础 是 必须 创建 一 个 庞大 的 过 滤 关 键 词 列表 。 这 种 技术 缺陷 很 明显 ,过 滤 的 能 
力 同 关键 词 有 明显 联系 ,关键 词 列表 造成 错 报 的 可 能 性 比较 大 。 同 时 ,系统 采用 这 种 技术 来 
处 理 邮件 所 消耗 的 系统 资源 会 比较 多 。 并 且 ,一 般 躲 避 关 键 词 的 技术 比如 拆 词 .组 词 就 很 容 
易 绕 过 过 滤 。 

黑 名 单 和 白 名单 分 别 是 已 知 的 垃圾 邮件 发 送 者 或 可 信任 的 发 送 者 的 IP 地 址 或 者 邮件 
地 址 ,目前 很 多 邮件 接收 端 都 采用 了 黑白 名 单 的 方式 来 处 理 垃圾 邮件 ,这 样 可 以 有 效 地 减少 
服务 器 的 负担 。 

基于 规则 的 过 滤 根 据 某 些 特征 (如 单词 .词组 位置、 大 小 .附件 等 ) 来 形成 规则 ,通过 这 
些 规则 来 描述 垃圾 邮件 ,正如 IDS 中 描述 一 条 入 侵 事 件 一 样 。 要 使 得 过 滤器 有 效 , 就 意味 
着 管理 人 员 要 维护 一 个 庞大 的 规则 库 。 

Hash 技术 是 邮件 系统 通过 创建 Hash 值 来 描述 邮件 内 容 , 如 将 邮件 的 内 容 、 发 件 人 等 
作为 参数 ,计算 出 邮件 的 Hash 值 来 描述 这 个 邮件 。 如 果 Hash 值 相 同 ,那么 说 明 邮件 内 容 、 
发 件 人 等 相同 。 通 常 在 一 些 ISP 上 采用 ,如 果 出 现 重 复 的 Hash 值 ,那么 就 可 以 怀疑 是 大 批 
量 发 送 邮 件 了 。 

智能 和 概率 系统 广泛 使 用 贝 叶 斯 (Bayesian) 算 法 , 它 的 原理 就 是 检查 垃圾 邮件 中 的 词 
或 字符 等 ,将 每 个 特征 元 素 都 给 一 个 正 分 , 另 一 方面 就 是 检查 正常 邮件 的 特征 元 素 , 用 来 降 
低 得 分 。 最 后 邮件 整体 得 到 一 个 垃圾 邮件 总 分 ,通过 这 个 总 分 来 判断 是 否 是 垃圾 邮件 。 

3. Foxmail 反 垃 圾 邮件 设置 

在 Foxmail 中 执行 “邮箱 ”| * 过 滤器 ”命令 , 单 击 如 图 5-8 所 示 的 “过 滤 管 理 器 ”对 话 框 中 
的 “新 建 "按钮 ,在 出 现 的 “过 滤器 ”对 话 框 中 对 邮件 主题 来源、 长 度 等 规则 对 邮件 进行 过 小， 
如 图 5-9 所 示 。 
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Wih O 


图 5-8 “过 滤 管 理 器 "对 话 框 


名 字 四 : [ED —_ 
(FF aa 

应 用 于 
TES OD) REO JFIW 
回 符合 以 下 所 有 选中 的 条 人 名 符 合 以 下 任意 一 个 选中 的 条 件 
发 件 人 包含 于 地 址 乔 的 | x 
Creepers | x 
发 件 人 包含 
收 件 人 包含 
主题 中 包 合 
附件 名 包含 
邮件 头 包含 
正文 中 包 合 
任何 地 方 包 合 
邮件 大 小 为 。 
只 发 给 我 的 邮件 
抄 送 结 我 的 邮件 


le la le la e e a e 


5-9 “过 滤器 ”对 话 框 


在 Foxmail 中 执行 “工具 ”|“* 反 垃圾 邮件 功能 设置 ”命令 ,出 现 如 图 5-10 所 示 的 “ 反 垃 圾 
邮件 设置 ”对 话 框 ,包含 了 Foxmail 的 反 垃 圾 邮件 功能 。 

Foxmail 在 收取 邮件 时 的 反 垃圾 邮件 实现 过 程 如 下 : 

a) 使 用 “ 白 名 单 ” 对 邮件 进行 判断 ,如 果 发 件 人 的 E-mail 地 址 包含 在 * 白 名 单 ” 中 , 则 
把 该 邮件 判定 为 非 垃圾 邮件 ; 否则 ,继续 进行 判断 。 

(2) 使 用 “ 黑 名 单 ” 对 邮件 进行 判断 ,如 果 发 件 人 的 E-mail 地址 或 名 字 包 含 在 黑 名 单 
中 , 则 把 该 邮件 判定 为 垃圾 邮件 并 直接 删除 ; 否则 ,继续 进行 判断 。 

(3) 使 用 “规则 过 滤 ” 对 邮件 进行 判断 。 在 Foxmail 中 定义 了 完善 的 垃圾 邮件 规则 ,每 
条 规则 对 应 一 个 分 数 , 当 邮 件 符合 某 一 条 规则 , 则 给 邮件 增加 相应 的 分 数 , 当 邮 件 得 到 的 分 
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BSR RE 


(BAL “| 规则 过 源 | 贝 叶 斯 过 源 | 黑 名 单 | 白 名 单 


接收 邮件 中 被 判定 为 垃 坡 邮 件 的 自动 转移 到 | 垃圾 邮件 箱 WO 
邮件 被 手工 标记 为 垃圾 邮件 时 Q): 

回 苇 移 到 垃圾 邮件 箱 O 

Ofte 


图 5-10 “ 反 垃圾 邮件 设置 ”对话 框 
数 达 到 一 定 值 时 ,就 把 该 邮件 判定 为 垃圾 邮件 ; 否则 ,继续 进行 判断 。 


(4) 使 用 * 贝 叶 斯 过 滤 ” 对 邮件 进行 判断 。 贝 叶 斯 过 滤 强 大 的 反 垃圾 功能 ,让 系统 能 够 
将 正常 邮件 和 垃圾 邮件 的 特征 词语 采集 出 来 ,为 反 垃 圾 判断 提供 基准 。 


4. Web 邮件 反 垃 圾 邮件 设置 


登录 Web 邮箱 后 , 单 击 相 应 的 选项 ,可 以 进行 反 垃圾 邮件 设置 。 图 5-11 是 在 126 邮箱 
中 单 击 * 设 置 ?选项 后 的 界面 ,可 以 进行 “ 白 名 单 "“ 黑 名 单 "“ 反 垃圾 级 别 ?等 设置 。 


126 网 易 免 费 邮 heinhe@126.com RE, SHAI, 密码 保护 , 退出 ] ”设置 | ABH | seen 


www.126.com 


Dret | Wf Se 在 发 送 的 邮件 中 加 入 您 的 个 性 


ae -DIRE a td 
A ma 

图 Pas ERRET 

g > 

WENS -BERR 。。 将 其 它 邮箱 的 邮件 、 通 讯 录 、 -BHES 当 收 到 采信 时 KASEMA 
nae 来信 分 类 MANER KARHI ED -EBRE 。 将 到 达 邮 箱 的 所 有 邮件 自 动 四 
es CENAE | 可 以 试 试 给 未 未 的 自己 发 一 划 朗 件 发 性 人 设置 。 你 可 以 用 这 个 “发 件 人 地 址 " 
AR 

B ASRS FERNE 

(BERR v+ 

TEENA “ 黑 名 单 设置 设置 困 名 单 ， 自 行 过 活 垃 所 邮件 -MHM 。 通过 设置 ， 将 垃圾 邮件 通通 挡 
wer -OZGE SESS. TRE - 高 级 杀毒 GENADER ima 


图 5-11 Web 邮箱 反 垃 圾 邮件 设置 
5. 反 垃 圾 邮件 软件 


借助 专门 的 反 垃 圾 邮件 软件 ,给 垃圾 邮件 制造 者 回复 “退回 ”的 错误 信息 , 告 之 所 发 送 的 
邮箱 地 址 是 无 效 的 ,可 以 免 受 垃圾 邮件 的 重复 骚乱 。 


使 用 如 图 5-12 所 示 的 “MailMate- 垃 圾 邮件 过 滤 专 家 ” 收 到 一 封 垃圾 邮件 , 单 击 “ 退 回 邮 
件 ” 按 钮 ,垃圾 邮件 制造 者 会 收 到 一 封 “ 退 回信 ,如 图 5-13 所 示 。 
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冰 maillate - 过 最 邮件 过 活 专 家 Y2.1.5 18) x) 
THO SEW 邮件 账户 有 邮件 如 TAG He 


Les |S | = 


| = 垃圾 邮件 (1) 
re en © 加 入 黑 名 单 @) 
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hexuechen@shiep. edu cn 

http: //hein blogen. com 
2009-10-13 


1 尖刀 件 B 下 在 联 机 I 作 
5-12” 收 到 垃圾 邮件 


文件 四 FEV Mae) MHW TAG EHW 


gie g 2-8 @l2 S R 


B online Qr 搜索 收 件 箱 YP 名 搜索 联系 人 [名字 
ial 加 Nara] @ | 主题 | 全 |BM 5 | 大 小 |~ ail 
a A SAM: 今天 4 
Se 一 X 
ae 发 件 箱 
国 已 发 送 邮件 箱 Undelivered Mail Returned to Sender & 
Q 垃圾 邮件 箱 (mail Delivery System = F 一 
E URFA: hexuechen@shiep. edu. cn 没有 可 以 显示 的 项 。 
a Ø si - : 
pn This is the Postfix program at host mx01. 126. com. 4 
a eee I’m sorry to have to inform you that the message 
-= returned 
3 aeaa below could not be delivered to one or more 
= Ta 度 件 箱 destinations, 
Ø citiz 
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a A RRD <postnast er@126, com> 
El Foxmail I£ you do so, ‘please include this problem report. 没有 可 以 显示 的 项 。 
RSS z% 


图 5-13 ”垃圾 邮件 制造 者 收 到 的 “退回 " 信 
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5.2 网 络 浏览 安全 防范 


Microsoft 公司 的 Internet Explorer 是 使 用 最 为 广泛 的 网 页 浏览 器 ,其 功能 强大 ,支持 
多 种 脚本 语言 和 控件 等 元 素 , 但 由 于 它 本 身 存在 不 少 安 全 漏洞 ,在 浏览 网 页 时 很 可 能 会 受到 
利用 这 些 漏 洞 的 攻击 。 


5.2.1 IE 恶意 修改 和 恢复 


ActiveX 是 Microsoft 提出 的 使 用 COM(Component Object Model, 部 件 对 象 模型 ) 在 
网 络 环境 中 进行 交互 的 技术 ,被 广泛 应 用 于 Web 服务 器 和 客户 机 的 各 个 方面 ,使 用 
JavaScript 语句 可 以 将 ActiveX RAZ Web 页 面 中 。 浏 览 了 含有 特殊 代码 的 ActiveX 网 页 
文件 ,就 会 自动 修改 计算 机 的 注册 表 , 从 而 达到 修改 TE 设置 .锁定 部 分 功能 等 目的 。 

【 例 5-3] 标题 栏 被 修改 及 其 恢复 。 

IE 标题 栏 被 修改 的 症状 是 每 打开 一 个 IE 窗口 ,窗口 的 标题 栏 中 会 多 出 一 些 不 相干 的 
文字 。 修 改 方法 如 下 : 

A) 执行 “开始 "| 运行 ”命令 ,输入 regedit, 打 开 注 册 表 编辑 器 。 

(2) 展开 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main, 在 
右 半 部 分 窗口 中 找到 串 值 Window Title, 如 图 5-14 所 示 。 


文件 FE) HE SEW KERA HE 
田 Main all 名 称 
B-A Media 国 StatusBerOther y Ox00000001 (1) 
由 - 国 enngxt [ab] use FormSuggest yes 
aC New Windows 国 we mean Co 


a Haast (B8]UseThenes Ox00000001 (1) 
tthe [BE]¥indow Placement REG_BINARY 2c 00 00 00 00 


as t 
etty Ey Window Title zzc sz 修改 标题 栏 
Gi Services Pe 


< a |E a 
我 的 电脑 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer \Main 


5-14 ”标题 栏 被 修改 的 恢复 


(3) 右 击 Window Title, 执 行 “ 删 除 ” 命 令 即 可 。 

[B 5-4] 首页 被 修改 及 其 恢复 。 

首页 被 修改 的 症状 是 每 次 启动 IE 时 会 出 现 一 个 完全 不 相干 的 网 址 。 恶 意 代码 改 掉 了 
IE 的 默认 首页 ,指向 一 个 我 们 并 不 想 访问 的 页 面 。 修 改 方法 如 下 : 

(1) 在 注册 表 编 辑 器 中 展开 HKEY _ 
CURRENT _ USER \ Software \ Microsoft \ 数值 匀称 
Internet Explorer\ Main, 在 右 半 部 分 窗口 中 [Start Page 


数值 数据 V): 


找到 串 值 Start Page. :Dein bocone net] 
(2) Iih $ {Ë Start Page, 出 现 如 图 5-15 
所 示 的 对 话 框 。 


(3) 对 其 值 进行 重新 设置 , 改 成 自己 比较 图 5-15 “编辑 字符 串 " 对 话 框 
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喜欢 的 网 址 或 将 其 键 值 改 为 “about:blank”。 

【 例 5-5) IE 右键 菜单 被 修改 及 其 恢复 。 

浏览 网 页 时 , 右 击 可 以 打开 一 个 快捷 菜单 。 如 果 发 现 这 个 菜单 下 有 多 余 的 条 目 ,说 明 被 
修改 了 ,恢复 方法 如 下 : 

在 注册 表 编 辑 器 中 展开 HKEY _CURRENT_ USER \ Software \ Microsoft \ Internet 
Explorer\MenuExt, 找 到 不 需要 的 菜单 项 , 右 击 ,执行 “删除 ”命令 ,如 图 5-16 所 示 。 


文件 中) 编辑 EE) SEW KERA HW 
(CD Media a| 名 称 
日 入 MenuExt (ab) BRL) 


A 百度 Flash 搜 索 辆 contexts J Ox00000001 


a 百度 信息 快 放 搜索 

ESHA Microsoft i 

G SESAR B 

A 使 用 网 际 快车 下 载 MEW , 
O 使 用 网 际 快 车 下 载 :查找 @).， 


=) New Windows 
< > 


我 的 电脑 \MIKEY_CUERRENT_USER Eta nternet Explorer \MenuExt\Giti3i] Microsoft Office Excel (8X) 


5-16 ”删除 不 需要 的 IE 右键 菜单 


【 例 5-6) 注册 表 被 锁定 及 其 恢复 。 

有 的 恶意 代码 修改 注册 表 后 会 将 注册 表 加 锁 ,使 用 户 无 法 
使 用 注册 表 编 辑 器 进行 修复 。 当 用 户 试 图 在 开始 菜单 中 打开 
regedit, exe 时 ,系统 弹出 对 话 框 提示 “注册 表 编 辑 已 被 管理 员 | @@ eena. 
停 用 ”的 信息 ,如 图 5-17 所 示 。 cC 

这 是 由 于 注册 表 HKEY_CURRENT_USER\ Software \ 
Microsoft \ Windows \ Current Version \ Policies \ System 下 的 
DWORD 值 “DisableRegistryTools” 被 修改 为 *1” 的 缘故 ,将 其 键 值 恢复 为 “0” 即 可 恢复 注册 
表 的 使 用 。 

恢复 注册 表 的 步骤 如 下 : 

A) 执行 “开始 ”|* 运 行 ” 命 令 , 输 入 gpedit. msc 后 按 Enter 键 ,出 现 * 组 策略 ?对 话 框 , 如 
图 5-18 所 示 o 


注册 表 编 辑 器 (x) 


5-17 ”注册 表 被 加 锁 


选择 一 个 项 目 来 查看 它 的 拱 述 。 名 称 


Wims 
APRE 


e E Windows 设置 
Emi 管理 模板 


5-18 “组 策略 ”对话 框 
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(2) 依次 展开 “用 户 配 置 ”"| “管理 模板 ”|“ 系 统 ” 命 令 ,双击 右 侧 窗口 中 的 “阻止 访问 注册 
表 编 辑 工 具 ”, 出现 如 图 5-19 所 示 的 对 话 框 。 


阻止 访问 注册 表 编 辑 工具 属性 
设置 [说明 | 
S sumeemmm oA 


禁用 后 台 运 行 regedit? 


RET: 至 少 Microsoft Windows 2000 
C880 |C 下 -设置 ) 


[E07] 


图 5-19 为 注册 表 解 锁 


(3) 选择 “已 禁用 ”选项 , 单 击 “ 确 定 ” 按 钮 。 

(4) 执行 “开始 "| 运行 ”命令 ,输入 regedit, 可 以 打开 注册 表 编 辑 器 ,说 明 解 锁 成 功 。 

【 例 5-7】 使 用 工具 修复 注册 表 。 

手工 修复 注册 表 的 方法 操作 比较 复杂 ,必要 时 可 以 借助 如 图 5-20 所 示 的 “Windows 清 
理 助手 ”等 专门 的 修复 工具 ,实现 浏览 器 .注册 表 的 修复 。 
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5.2.2 网 页 炸弹 攻击 与 预防 


在 浏览 网 页 时 ,有 时 单 击 了 某 个 链接 后 ,计算 机 出 现 了 反常 的 迹象 : 不 断 弹出 窗口 、 死 
机 、 硬 盘 被 格式 化 …… ,这 十 有 八 九 是 遭 到 了 网 页 炸弹 的 袭击 。 

网 页 炸弹 通常 借助 于 JavaScript、Java Applet 和 ActiveX 控件 来 实施 攻击 。Windows 
操作 系统 提供 了 一 个 平台 ,在 这 个 平台 上 可 以 运行 各 种 各 样 的 程序 。IE 也 是 一 个 平台 ,在 
IE 这 个 平台 上 也 可 以 运行 一 些 “ 小 程序 ”,JavaScript、Java Applet 和 ActiveX 就 是 这 样 的 程 
序 ,如果 运行 了 使 用 JavaScript 等 编写 的 恶意 小 程序 ,就 会 导致 上 述 情况 的 发 生 。 

【 例 5-8】 网 页 炸弹 的 演示 。 

网 页 炸弹 都 是 寄生 在 网 页 中 的 ,下 面 是 最 简单 的 JavaScript 炸弹 , 它 是 利用 JavaScript 
中 的 循环 实现 的 。 

(1) 在 记事 本 中 输入 以 下 代码 : 

<HTML> 

<HEAD> 

<title></title> 

<meta http- equiv = "Content — Type" content = "text/html; charset = gb2312"> 

</HEAD> 

< BODY > 

< SCRIPT LANGUAGE = "javascript"> 

for(i=0;i<10;it+) 

{ 


window. open( ) 
} 
</script> 
</BODY > 
</HTML> 


(2) 将 其 保存 为 . htm 文件 。 

(3) 双击 该 文件 ,会 连续 出 现 11 个 IE 窗口。 如果 将 程序 中 循环 的 终 值 由 10 改 为 
1000000 ,会 发 生 什么 情况 呢 ? 

因为 各 种 恶意 修改 和 网 页 炸弹 都 是 通过 JavaScript、Java Applet 或 ActiveX 实施 的 , 因 
此 只 要 在 IE 设置 中 将 它们 全 部 禁止 ,就 可 以 避免 针对 IE 的 攻击 。 有 具体 步骤 如 下 : 

(1) 在 IE 窗口 中 执行 “工具 ”| “Internet 选项 ”命令 ,在 弹出 的 对 话 框 中 选择 “安全 ” 
标签 。 
(2) 单 击 “ 自 定义 级 别 ” 按 钮 ,弹出 “安全 设置 "对话 框 。 

(3) 将 其 中 “ActiveX 控件 和 插件 ”"“ 脚 本 ”的 相关 项 选择 “禁用 ”, 如 图 5-21 所 示 。 

对 Windows 2000/XP 用 户 , 还 可 以 通过 关闭 “远程 注册 表 操 作 服 务 ” 的 方式 来 进行 预 
防 。 具 体 方法 是 执行 “控制 面板 ”1“ 管 理工 具 ”|“ 服 务 ”| Remote Registry 命令 ,在 “启动 类 
型 ”中 选择 “已 禁用 ”, 如 图 5-22 所 示 。 


5.2.3 “网 络 钓鱼 "及 其 防范 
钓鱼 网 站 是 与 正规 网 络 交易 网 站 外 观 极其 相似 的 欺骗 性 非法 网 站 。 据 中 国 反 钓鱼 网 站 
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REO: 


spinor rams | 


图 Activex 控件 自动 提示 
© 禁用 


_ O 8H 
图 对 标记 为 可 安全 执行 脚本 的 Activer 控件 执行 肢 : 
© SA 


O BA 


_ ORR 
O 对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 有 
zA 


图 5-21 “安全 设置 ?对 话 框 


Remote Registry 的 属性 (本 地 计算 机 ) 
BA ER AS | 依存 关系 | 
服务 名 称 : RemoteRegistry 
ERZA: Perote Registry 
描述 ©) 俩 二 程 用 户 能 修改 此 计算 机 上 的 注册 素 设置 。 = 
可 执行 文件 的 路 径 OD 


C:\WINDOWS \system3Z\svchost. exe -k LocalService 


启动 类 型 E) (i ~ 


服务 状态 已 停止 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


A 5-22 关闭 “远程 注册 表 操 作 服务 ” 


联盟 中 心 统计 ,全 球 “钓鱼 ”案件 正在 以 每 年 高 于 200% 的 速度 增长 ,受骗 用 户 高 达 5%。 

如 2004 年 ,美国 花旗 银行 的 客户 收 到 了 网 络 钓鱼 者 的 袭击 。 在 给 花旗 银行 客户 发 送 的 
邮件 中 ,欺诈 者 冒充 “花旗 银行 安全 部 门 ”, 宣 称 银行 服 务 器 要 升级 ,要 求 客 户 提 供 他 们 的 账 
户 资料 ,并 且 去 一 个 假冒 的 网 站 验证 银行 账号 是 否 被 自 改 。 很 多 花旗 银行 的 客户 在 线 填写 
并 回复 了 这 些 邮 件 , 造 成 了 很 大 的 经 济 损失 。 

1.“ 网 络 钓鱼 "的 主要 手法 

除了 发 送 邮件 实施 "网 络 钓鱼 ”外 ,还 有 以 下 几 种 主要 手法 。 

(1) 建立 假冒 网 上 银行 .网 上 证 券 网 站 ,骗取 用 户 账号 密码 实施 盗窃 。 
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犯罪 分 子 建立 起 域名 和 网 页 内 容 都 与 真正 网 上 银行 系统 .网 上 证 券 交 易 平台 极为 相似 
的 网 站 ,引诱 用 户 输入 账号 密码 等 信息 ,进而 通过 真正 的 网 上 银行 .网 上 证 券 系统 或 者 伪造 
银行 储蓄 卡 .证 券 交 易 卡 盗窃 资金 ; 有 的 利用 路 站 脚本 , 即 利用 合法 网 站 服务 器 程序 上 的 漏 
洞 ,在 站 点 的 某 些 网 页 中 插入 恶意 HTML 代码 ,屏蔽 住 一 些 可 以 用 来 辨别 网 站 真 假 的 重要 
信息 ,利用 Cookies 窃取 用 户 信息 。 

如 2004 年 7 月 发 现 的 某 假 公司 网 站 http://www. lenovo. com, 真 正 网 站 为 http:// 
www. lenovo. com, 诈 骗 者 利用 了 小 写字 母 1 和 数字 1 很 相近 的 障 眼 法 。 诈 骗 者 通过 QQ 散 
布 “XX 集团 和 XX 公司 联合 赠送 QQ 币 ? 的 虚假 消息 ,引诱 用 户 访问 。 

一 旦 访问 该 网 站 ,首先 生成 一 个 弹出 窗口 ,上 面 显 示 “ 免 费 赠送 QQ 币 ” 的 虚假 消息 。 而 
就 在 该 弹出 窗口 出 现 的 同时 ,恶意 网 站 主页 面 在 后 台 通 过 多 种 IE 漏洞 下 载 病 毒 程序 
lenovo. exe, 并 在 2 秒 钟 后 自动 转向 到 真正 网 站 主页 ,用 户 在 毫 无 觉察 中 就 感染 了 病毒 。 

病毒 程序 执行 后 ,下 载 该 网 站 上 的 另 一 个 病毒 程序 bbs5. exe, 用 来 窃取 用 户 的 传奇 账 
号 .密码 和 游戏 装备 。 当 用 户 通过 QQ 聊天 时 ,还 会 自动 发 送 包 含 恶 意 网 址 的 消息 。 

(2) 利用 虚假 的 电子 商务 进行 诈骗 。 

此 类 犯罪 活动 往往 建立 电子 商务 网 站 ,或 是 在 比较 知名 、 大 型 的 电子 商务 网 站 上 发 布 虚 
假 的 商品 销售 信息 ,犯罪 分 子 在 收 到 受害 人 的 购物 汇款 后 就 销声匿迹 。 如 2003 年 ,罪犯 余 
某 建 立 “ 奇 特 器 材 网 ”网 站 ,发 布 出 售 间谍 器 材 、 黑 客 工 具 等 虚假 信息 ,诱骗 顾 主 将 购 货 款 汇 
人 其 用 虚假 身份 在 多 个 银行 开 立 的 账户 ,然后 转移 钱 款 。 

除 少数 不 法 分 子 自 己 建立 电子 商务 网 站 外 ,大 部 分 人 采用 在 知名 电子 商务 网 站 上 ,如 
“淘宝 ”“ 阿 里 巴巴 ”等 ,发 布 虚 假 信 息 , 以 所 谓 “ 超 低 价 ”“ 免 税 ”“ 走 私 货 "“ 慈 善 义 卖 ” 的 名 
义 出 售 各 种 产品 ,或 以 次 充 好 ,以 走私 货 充 行货 ,很 多 人 在 低 价 的 诱惑 下 上 当 受 骗 。 网 上 交 
易 多 是 异地 交易 ,通常 需要 汇款 。 不 法 分 子 一 般 要 求 消费 者 先 付 部 分 款 , 再 以 各 种 理由 诱骗 
消费 者 付 余 款 或 者 其 他 各 种 名 目的 款项 ,得 到 钱 款 或 被 识破 时 ,就 立即 切断 与 消费 者 的 
联系 。 

(3) 利用 木马 和 黑客 技术 等 手段 窃取 用 户 信息 后 实施 盗窃 活 动 。 

木马 制作 者 通过 发 送 邮 件 或 在 网 站 中 隐藏 木马 等 方式 大 肆 传 播 木 马 程序 , 当 感染 木马 
的 用 户 进行 网 上 交易 时 ,木马 程序 即 以 键盘 记录 的 方式 获取 用 户 账 号 和 密码 ,并 发 送 给 指定 
邮箱 ,用 户 资金 将 受到 严重 威胁 。 

如 木马 “证 券 大 盗 ”, 通 过 屏幕 快照 将 用 户 的 网 页 登录 界面 保存 为 图 片 , 并 发 送 到 指定 邮 
箱 。 黑 客 通过 对 照 图 片 中 鼠标 的 点 击 位 置 , 就 很 有 可 能 破译 出 用 户 的 账号 和 密码 ,从 而 突破 
软 键 盘 密 码 保 护 技术 ,严重 威胁 股民 网 上 证 券 交 易 安全 。 

(4) 利用 用 户 弱 口令 等 漏洞 破解 .猜测 用 户 账号 和 密码 。 

不 法 分 子 利用 部 分 用 户 贪图 方便 设置 弱 口 令 的 漏洞 ,对 银行 卡 密码 进行 破解 。 如 2004 
年 10 月 ,三 名 犯罪 分 子 从 网 上 搜寻 某 银行 储蓄 卡 卡号 ,然后 登录 该 银行 网 上 银行 网 站 ,尝试 
破解 弱 口 令 , 并 屡屡 得 手 。 

实际 上 ,不 法 分 子 在 实施 网 络 诈骗 的 犯罪 活动 过 程 中 ,经 常 采取 以 上 几 种 手法 交织 、 配 
合 进 行 ,还 有 的 通过 手机 短信 、QQ、MSN 进行 各 种 各 样 的 “网 络 钓鱼 ”不 法 活动 。 

2. 防范 “网 络 钓鱼 ” 

针对 以 上 不 法 分 子 通常 采取 的 网 络 欺 诈 手 法 ,可 以 采取 以 下 防范 措施 。 
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(1) 收 到 有 如 下 特点 的 邮件 要 提高 警惕 。 

。 伪造 发 件 人 信息 ,如 ABC@abcbank. com, 

。 问候 语 或 开场 白 模 仿 被 假冒 单位 的 口吻 和 语气 ,如 “亲爱 的 用 户 ”。 

。 内 容 为 传递 紧迫 的 信息 ,如 以 账户 状态 将 影响 到 正常 使 用 或 宣称 正在 通过 网 站 更 新 
账号 资料 信息 等 。 

。 索取 个 人 信息 ,要 求 用 户 提供 密码 .账号 等 信息 。 

。 以 超 低 价 或 海关 查 没 品 等 为 诱饵 诱骗 消费 者 。 

(2) 在 进行 网 上 交易 时 要 注意 做 到 以 下 几 点 。 

。 核对 网 址 ,看 是 否 与 真正 网 址 一 致 。 

。 选 妥 和 保管 好 密码 ,不 要 选 计 E 如 身份 证 号 码 、 出 生日 期 .电话 号 码 等 作为 密码 ,使 用 
字母 .数字 混合 密码 ,尽量 避免 在 不 同系 统 中 使 用 同一 密码 。 

。 做 好 交易 记录 ,对 网 上 银行 ,网 上 证 券 等 平台 办 理 的 转账 和 支付 等 业务 做 好 记录 , 定 
期 查看 “历史 交易 明细 ”和 打印 业务 对 账单 ,如 发 现 异 常 交 易 或 差错 ,立即 与 有 关 单 
位 联系 。 

。 管 好 数字 证 书 , 避 免 在 公用 的 计算 机 上 使 用 网 上 交易 系统 。 

。 对 异常 动态 提高 警惕 ,如 不 小 心 在 陌生 的 网 址 上 输入 了 账户 和 密码 ,并 过 到 类 似 “ 系 
统 维护 ?之 类 提示 时 ,应 立即 拨打 有 关 客 服 热线 进行 确认 ,万 一 资料 被 盗 , 应 立即 修 
改 相关 交易 密码 或 进行 银行 卡 、 证 券 交 易 卡 挂失 。 

。 通过 正确 的 程序 登录 支付 网 关 , 通 过 正式 公布 的 网 站 进入 ,不 要 通过 搜索 引擎 找到 
的 网 址 或 其 他 不 明 网 站 的 链接 进入 。 

(3) 虚假 电子 商务 一 般 具 有 以 下 诈骗 信息 特点 ,不 要 上 当 。 

。 交易 方式 单一 ,消费 者 只 能 通过 银行 汇款 的 方式 购买 , 且 收 款 人 均 为 个 人 ,而 非 公 
司 ,订货 方法 一 律 采 用 先 付款 后 发 货 的 方式 。 

。 诈 取 消费 者 款项 的 手法 如 出 一 竹 , 当 消费 者 汇 出 第 一 笔 款 后 ,骗子 会 来 电 以 各 种 理 
由 要 求 汇款 人 再 汇 余 款 、 风 险 金 .押金 或 税 款 之 类 的 费用 ,否则 不 会 发 货 ,也 不 退 款 ， 
一 些 消费 者 迫 于 第 一 笔 款 已 汇 出 , 抱 着 侥幸 心理 继续 再 汇 。 

(4) 采取 以 下 网 络 安 全 防范 措施 。 

。 安装 防火 墙 和 防 病 毒 软件 ,并 经 常 升级 。 

。 注意 经 常 给 系统 打 补丁 ,堵塞 软件 漏洞 。 

。 禁止 浏览 器 运行 JavaScript 和 ActiveX 代码 。 

。 不 要 上 一 些 不 太 了 解 的 网 站 ,不 要 执行 从 网 上 下 载 后 未 经 杀毒 处 理 的 软件 ,不 要 打 

FF MSN 或 者 QQ 上 传送 过 来 的 不 明文 件 等 。 

提高 自我 保护 意识 ,注意 妥善 保管 自己 的 私人 信息 ,如 本 人 证 件 号 码 、 账 号 、 密 码 等 ， 

不 向 他 人 透露 ; 尽量 避免 在 网 吧 等 公共 场所 使 用 网 上 电子 商务 服务 。 


5.2.4 浏览 器 安全 


浏览 器 已 经 成 为 互联 网 病毒 ,木马 传播 的 最 大 门户 ,浏览 器 的 安全 已 经 成 为 无 法 忽视 的 


问题 。 一 款 好 的 浏览 器 应 该 具有 动态 识别 恶意 代码 、 实 时 拦截 提示 功能 ,如 图 5-23 所 示 。 
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360 安 全 红绿灯 X 360 安 全 红绿灯 X 
四 该 网 站 是 木马 病毒 网 站 和 该 网 页 发 出 了 4 个 网 络 请 求 ， 发 
现 3 个 恶意 请 求 ， 已 成 功 拦截 9 
了 和 解 360 安 全 红绿灯 >> 条 绿灯 >> 
CEE © 3 a0 Qu- (OEE © 3 @O Quo - 


A 5-23 ”恶意 网 站 提示 拦截 功能 


图 5-24 是 由 国内 知名 第 三 方 数据 统计 分 析 服 务 提供 商 CNZZ 公布 的 中 国境 内 2009 年 
9 月 浏览 器 市 场 份额 排行 榜 , 虽 然 IE 浏览 器 仍然 占据 了 第 一 位 ,但 是 邀 游 .360 等 浏览 器 的 
安全 功能 比较 好 ,是 实现 安全 浏览 的 较 好 选择 。 


MAM 2009 年 09 月 市 场 份 颜 趋势 


B BR IE é 82. 9276% 

+ MSIE 6.0 67.0528% 详情 >> 
+ MSIE 7.0 11.6141% 详情 >> 
+ MSIE 8.0 4. 2268% 详情 六 > 
”MSIE 5.0 0. 0229% 详情 >> 
+ MSIE 5.5 0.0110% 详情 ?> 
加 RF Maxthon @ 4.73718 详情 > 
D Barr @ 4.4468% 详情 >> 
辐 360 安 全 浏览 器 E 3.9976% 详情 > 
(So) 世界 之 窗 Theworld e 2. 1002% 详情 >> 
D 火狐 Firefox @ 1.2965% 详情 > 
由 BR Chrome e 0.2352% 详情 六 
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要 实现 安全 浏览 ,首先 要 对 浏览 器 进行 检测 。 

【 例 5-9】 通过 ScanIT 网 站 检测 浏览 器 。 

(1) 打开 ScanIT 网 站 页 面 (http://bcheck. scanit. be/bcheck) ,显示 当前 浏览 器 和 操作 
系统 版 本 等 信息 ,如 图 5-25 所 示 。 

(2) 选择 左下 方 的 第 二 项 单 选项 Run all available tests( 对 所 有 项 目 进行 检测 ) , 单 击 
Start the test 按钮 ,开始 对 浏览 器 进行 检查 。 在 检查 的 过 程 中 ,会 不 断 弹出 窗口 ,并 且 显示 
出 检测 进度 ,如 图 5-26 所 示 。 

(3) 检测 操作 完毕 后 ,显示 被 检测 浏览 器 的 安全 报告 。 如果 没有 漏洞 ,显示 
“Congratulations! The test has found no vulnerabilities in your browser!”, 如 图 5-27 所 示 。 

(4) 如 果 存 在 漏洞 , 则 显示 三 类 漏洞 及 其 对 应 的 个 数 : High Risk Vulnerabilities G fé 
险 漏洞 )、Medium Risk Vulnerabilities( 中 级 危险 漏洞 ) .Low Risk Vulnerabilities( 低 级 危险 
漏洞 )。 对 于 漏洞 还 会 进行 相关 的 信息 提示 ,并 给 出 补丁 的 下 载 地 址 ,只 要 按照 页 面 上 的 提 
示 ,按部就班 地 进行 操作 ,就 可 修补 存在 的 漏洞 。 

【 例 5-10】 进一步 安全 检测 。 

(1) 打开 www. pcflank. com 网 站 ,可 以 对 浏览 器 端口、 木马 ,信息 泄露 等 项 目 进行 检 
测 , 如 图 5-28 所 示 。 

(2) 单 击 左 侧 7 种 安全 检测 方式 中 的 Quick Test 标签 ,对 计算 机 进行 全 面 检查 ,如 
图 5-29 tas; 也 可 单 击 Browser Test 标签 , 仅 对 浏览 器 进行 检测 。 
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Browser Security Test X 
a 
GRIT | Test Your Browsers Security Now . 
Funan scanit 
America Careful! The test will try to crash your browser! Close all other browser windows The security company 
| Thousands of | before starting and bookmark this page. If your browser crashes during the test, 
| pictures, restart it and retum to this page. It will show which vulnerability crashed your browser 
| eet bard a and offer you to continue the test or view the results. About Browser Test 
| 
Flying 
| wm CesAmerin omit m G a i persistent cookies to be enabled. The cookie is used to restore your session ee 
Feedback © 
‘Your browser reports to be: "Mozalla14 0 (compatible; MSIE 6 0, Windows NT 5.1; SV1, = 
| 360SE)" Browser test FAQ © 
Security testing | Browser name: MSIE ‘What vulnerabilities we test © 
| Scanit offers Wi 60 
penetration tests, Test statistics © 
Platform Windows XP 
vulnerability F 
ss Help! My browser is hijacked © 
| web application | © Only test for bugs specific to my type of browser 
| audits © Run all available tests Get notified shout new tests © 
ae © Choose individual tests Od brome nnle 
ee. | Ge Lema a O 
| rowser test to your site 
Scanit offers 5- Start the test 
| day training on 
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图 5-25 进入 ScanlT 网 站 
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后 退 itt 停止 刷新 主页 恢复 


Browser Security Test 


browser security test 


Now testing “Internet Explorer bait & switch race condition” vulnerability (test 2 out 
of 18) 


Please wait while the test is in progress. 


Quick Help 


e Help! Hy anti-virus says there is a virus! 

Your anti-virus is doing its job. It detects the exploit we are attempting and warns you about it. The virus it 
detects is some malicious software that uses the same bug we test for. Apart from exploiting same browser bug the 
Browser Security Test and the virus have nothing in common. We are not installing any trojans or attempting to 
infect you with viruses. 

What do I do if my browser crashes? 

Re-start your browser. If it asks whether you want to restore the session or start a new session, choose “Start new 
session” or “Start with blank page”. Surf to the Browser Test home page (http://bcheck. scanit.be:80/bcheck/). You 
will see the intermediate test results and have the opportunity to continue the test. 
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5-26 ”显示 检查 进度 
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Browser Security Test Xx 
SS E| Test results 
Qualys 
‘Vulnerability e V Mozila crashes with evidence of memory corruption - passed SC ‘a it 
| © V Internet Explorer bait & switch race condition - passed 
Accurate, fast © V Mozilla crashes with evidence of memory corruption - passed 
detection of rowser 
| e ™ Internet Explorer createTextRange arbitrary code execution - passed About Browser Test 
vulnerabilities. e V Windows MDAC ADODB ActiveX control invalid length - passed 
Free Network © V Adobe Flash Player video fle parsing integer overflow - passed Browser test home © 
(ener 。 V XMLDOM substringData() heap overflow - passed 
| e V Mozila crashes with evidence of memory corruption (rv:1.8.1.5) - passed Feedback © 
o V Opera JavaScript invalid pointer arbitrary code execution - passed 
| e V Apple QuickTime MOV file JVTCompEncodeFrame heap overflow - passed Browser test FAQ © 
f e V Monilla code execution via QuickTime Media-link files - passed 
vulner o 
| e V Mozila crashes with evidence of memory corruption (rr1 8.1.8) - passed 一 
i e V Mozilla memory corruption vulnerabilities (rr1.8.1 10) - passed Test statistics © 
aie © V Mozilla crashes with evidence of memory corruption (rv:1.8.1.12) - passed 
ES e V Apple QuickTime 'QTPhugin ocx ActiveX Control Multiple Buffer Overflows - Help! My browser is hijacked © 
| web application pid 
| o: Y Window location property cross-doenain sciipting = passed Get notified about new tests © 
© V Mozilla Firefox MathML integer overflow - passed Oud be Te 
| e V Internet Explorer XML nested SPAN elements memory corruption - passed jeanne 
| Leam ethical ry corruption ~ pi 
«hack Add browser test to your site © 
Scanit offers 5- | Congratulations! The test has found no vulnerabilities in your browser! 
| day training on 
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Tip of the day 
1 possible, use several dlferest anti-virus programs. Tt is qute possble that one program 
wort locate a virus whan the other wfl vost 
D | a About Pc Flanks tests 
PC Pank Leaktest rew 
Quick Test You can easily test your system for vulnerabilities to Internet threats with our on-line tests. PC Flanks testing d 
Steath Test facilities consist of Six on-line tests: Quick Test, Advanced Port Scanner, Stealth Test, Browser Test, Trojans Test 
Browser Test and Exploits Test, As a rule each test takes no more than 3 minutes depending on the speed of your Intemet a alee 
Trojans Test connection 5% off storewide 
Advanced Port Scanner Free Delivery Now 
Exploits Test Here are the descriptions of each test wow Rapidxame.com 
BS | Quick test fannie 
有 ick te 
DONO aed Nam © This test shows now vuinerable your computer is to various Internet threats. The test also determines 
ifa Trojan horse already infects your system and if your Web browser reveals personal info about you 
‘or your computer while you're web surfing This testis a combined version of Advanced Port Scanner, 
al Browser Test and Trojans Test. The test take less than three minutes. Afterwards you will see a full E-mail this page dif 
Software Store report including recommendations on how to improve the security of your system. This test is = 
recommended to rookie users and users who do not have enough time to pass all the tests. To start E-mail this page to a friend! 
the test click iere. 
To: 
Stealth Test g 
© _ Vith the neip ofthe Stealth test you can determine if your computer is visible to the others on the From: 
Internet You can also use this test to determine if your firewall is successful in making ports of your J 
System stealthed. To determine if your computer is visible on the Intemet the Stealth test utilizes five 
‘scanning techniques: TCP ping, TCP NULL, TCP FIN, TCP XMAS and UDP scanning. To startthe test 
slicker. 
Browser Test 
© This testwill check ityour browser reveals any of your personal information. This might be the sites 
‘you have visited, the region you live in, who your Internet Service Provider is, ett. The test will 
recommend specific settings of your browser for you to change. To start the test click here. a 
d [9 ET 
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Se FC Manik: Make sure you 


uick Test 
PC Flank Leaktest new ‘Ass by Google 
Quick Test This test shows how vulnerable your computer is to various Internet threats. The test also determines ifa Trojan 

Steath Test horse already infects your system and ifyour Web browser reveals personal info about you or your computer Help with Virus 
Browser Test while youre web surfing. Removal 

Trojans Test Free PC 
Advanced Port Scanner The test takes less than five minutes, but provides the following, Troubleshooting 
Exploits Test Register Today! 


ts i © Ports check an daniweb com 


Leak Tests Catalog new! 
FAQ 
Gossary 


‘The test scans your system for open ports that can be used in attacks on your computer. Open ports let 
hackers access your system. 


© Trojan horse check 


Software Store 
This test scans your system for any Trojan horses. If a Trojan is found on your computer the test 
recommends actions to take. 

© Privacy check 
This checks if your browser reveals any of your personal information. This might be the sites you have 
visited, the region you live in, who your Intemet Service Provider is, etc. The test will recommend specific 
‘settings of your browser for you to change. 
‘The test begins when you click on "Start Test”. It steps through a complete check of your system. 
To view overall statistics of other users tests results click on “Overall Stats” 
= ATTENTION! 
By clicking the button “Start Test” you confirm your consent of the following statements: 
© Your computer wili be scanned and checked by our tests; 


© The results of your test will remain confidential and will not be given to any third party, 
© The test does not give a sound basis for legal claims of irreversible consequences to your computer, 


Start Test» | Overall Stats » | s 


p CIEE 6 D Aa Qo- 


5-29 Quick Test 检测 


(3) 单 击 下 方 的 Start Test 按钮 进行 检测 ,检测 完成 后 显示 检测 报告 ,如 图 5-30 所 示 。 


€]€9-OG059-8-s fore. pelea con -> 4 Q Bm- Gem- ÄERER- 
MiB fit E B 主页 N FEM 
Be PC Plank: Make 
start page Sfp 大 
stem, change all y rás immectatety Make "PC Flank" your 
‘Start Page! 
Test 
Yousystem = 
Sponsored link a 
| > | Test Your System = Results of the test: E 
PC Flank Leaktest new! 
‘ey Google 
Quick Test Check for vulnerabilities of yow computer system to remote attacks Ld 
‘Stealth Test Firewall NAT 
Browser Test Saat Traversal 
Trojans Test Gotan 
Advanced Port Scanner application that 
Exploits Test needs to be 
[ > Ask the experts + Trojan horse check firewall friendly? 
Leak Tests Catalog new Try echoWarel 
E OE Msoga 
Glossary y 
E = 
aad Browser privacy check 
® Danger! 
Full Report > 
Ifyou want to give your computer sophisticated examination we can send your computer a specially created flow 
of data (exploits) to define how well your system is protected from extreme exploits attacks. 
To start the test click “Exploits Test”. = 
e GEE E DFID AQ- 


5-30 ”检测 报告 
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(4) 单 击 下 方 的 Full Report 按钮 ,详细 显示 存在 的 问题 及 建议 ,如 图 5-31 所 示 。 


= Browser privacy check 


The test checked if your web browser reveals any private information while you visit Web sites. Usually such 
information is: the last site visited, your locale and who your Internet Service Provider is. 


Danger! 
‘While visiting web sites your browser reveals private information about you and your computer. It sends 
information about previous sites you have visited. It may also save special cookies on your hard drive that 
have the purpose of directing advertising or finding out your habits while web surfing. 

Recommendation: 


We advise you to get personal firewall software. If you already have a firewall program adjust it to block the 
distribution of such information. 


图 5-31 详细 报告 及 建议 


5.3 网 络 聊天 安全 防范 


近年 来 ,基于 Internet 的 网 络 通信 软件 得 到 了 飞速 的 发 展 ,包括 ICQ, QQ, MSN 等 ,其 
中 最 著名 的 软件 是 Tencent 公司 的 QQ 通信 软件 , 它 可 以 提供 多 种 服务 ,包括 文字 聊天 、 语 
音 聊 天 .新 闻 ,短信 定制 以 及 文件 传输 等 ,为 用 户 信息 交流 和 生活 提供 了 方便 。 然 而 ,即时 通 
信 软 件 也 存在 不 少 安全 问题 ,本 节 以 QQ 为 例 讲 述 网 络 通信 软件 的 攻防 。 


5.3.1 网 络 通信 软件 密码 盗 取 


密码 盗 取 的 基本 方法 是 偷偷 运行 隐藏 在 计算 机 后 台中 的 一 个 小 程序 ,如 果 有 人 在 这 人 台 
计算 机 上 使 用 网 络 通信 软件 ,他 输入 的 密码 就 会 被 记录 下 来 或 者 通过 电子 邮件 发 送出 去 。 
密码 盗 取 软 件 大 致 可 以 分 成 两 类 : 第 一 类 是 将 偷 到 的 密码 存放 在 计算 机 的 某 个 鲜 为 人 知 的 
文件 中 ,安放 窃取 软件 的 人 必须 过 一 段 时 间 后 才能 打开 它 , 如 QQ 幽灵 ; 另 一 类 会 将 偷 到 的 
密码 直接 通过 电子 邮件 发 送出 去 ,这 样 施放 从 取 程序 的 人 就 可 以 立即 获取 密码 了 ,如 QQ 
杀手 。 

1. QQ 幽灵 

QQ 幽灵 的 主 程序 非常 小 ,为 了 伪装 自己 ,其 文件 名 为 rav. exe, 图 标 与 瑞星 杀毒 软件 也 
完全 一 样 ,只 要 将 该 软件 在 某 台 计算 机 上 运行 一 次 ,然后 就 可 以 在 该 计算 机 的 Windows\ 
system32( Windows Me/XP) 目录 或 Winnt\system32( Windows 2000) 目录 下 找到 rav 文 
件 , 双 击 该 文件 ,在 弹出 的 对 话 框 中 选择 打开 程序 为 记事 本 ,就 可 以 看 到 被 盗 取 的 密码 了 。 

2. QQ 幽灵 的 预防 

在 输入 密码 登录 QQ 前 , 先 检查 一 下 计算 机 中 是 否 隐 藏 有 QQ 幽灵 ,如 有 则 将 其 去 除 ， 
具体 方法 如 下 : 

(1) 打开 任务 管理 器 ,选择 “进程 ”页 ,如 果 发 现 Rav. exe, 可 能 就 是 QQ 幽灵 ,如 图 5-32 
所 示 。 

(2) 选择 Rav. exe, 单 击 “ 结 束 进程 ”按钮 ,将 其 关闭 。 

G) 打开 注册 表 编 辑 器 ,找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 
Windows\CurrentVersion\Runservices 中 的 RavTimer, 记 录 其 “数据 ”下 的 路 径 , 然 后 将 
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B Tindows 任务 管理 器 
RAE) 选项 @) SEW 关机 QW AD 
[应 用 程序 | 进程 ”| 性 能 ”| 联网 AP 


| BRR HPS 
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KAVSwcUI. EXE Administrator 

inetinfo. exe ‘SYSTEM 
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NETWORK SERVICE 
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csrss. exe 
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RUNDLL32. exe Administrator 
< 


口 显示 所 有 用 户 的 进程 O 


of 
fa 
ia) 
e 区 


进程 数 : 24 CPU 使 用 :5% 


图 5-32 ”发现 "QQ 幽灵 ”进程 


RavTimer 删除 。 
(4) 打开 Windows 资源 管理 器 ,找到 刚才 记录 下 的 路 径 , 将 rav. exe 文件 删除 。 
3. QQ 杀手 


QQ 杀手 可 以 将 偷 到 的 密码 通过 邮件 发 送出 去 。 运 行 其 中 的 qqset. exe 文件, 对 QQ A 
手 进行 设置 ,包括 指定 接收 密码 的 邮箱 、 用 户 名 和 密码 等 ,如 图 5-33 所 示 , 设 置 完成 后 单 击 


大 99 杀手 6- 75 资 料 设置 


M 保存 密码 在 本 地 文件 不 选 则 不 保存 本 地 文件 主 版 本 : 
保存 文件 : El 支持 系统 : Wingx 2000 XP 


支持 版 本 : QQ2000b1220- 
接收 邮箱 类 型 |@163.com ii QQ2000c1230 
setae: 手电 支持 ， 支 持 


发 送 主题 随便 } 本 机 安装 : 未 有 安装 
邮箱 身份 验证 设置 三 防 修改 设置 


P 为 了 茜 止 别人 通过 本 设置 各 
an eet AE 
REECE. 


MV 保存 资料 在 本 机 不 选 则 只 生成 资料 文件 ] 输入 防 修改 密码 ; 
厂 设置 完毕 后 自动 安装 杀手 。 看 看 是 否 有 新 版 本 3? 


| Bae) waw | azo | mso | 


5-33 “QQ 杀手 "的 配置 


Winpao. exe 文件 用 于 对 QQ 密码 进行 窃取 ,设置 完成 后 双击 该 文件 ,QQ 杀手 就 会 在 
计算 机 中 潜伏 下 来 ,然后 将 窃取 的 密码 发 往 指定 的 邮箱 。 

QQbin. exe 文件 用 于 将 QQ 杀手 和 其 他 合法 的 可 执行 文件 进行 捆绑 ,如 图 5-34 所 示 。 
绑 定 后 发 送 给 其 他 人 ,只 要 对 方 运行 该 文件 ,QQ 杀手 立即 在 对 方 的 计算 机 中 安家 落户 。 
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4. QQ 杀手 的 预防 

和 QQ 幽灵 一 样 ,QQ 杀手 也 是 通过 在 计算 机 中 安插 小 程序 进行 密码 窃取 的 。 使 用 与 
QQ 幽灵 预防 中 相同 的 方法 ,在 任务 管理 器 中 结束 Esplorer. exe 进程 。 打 开 注 册 表 编辑 器 ， 
找到 HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows \ Current Version \ 
Run 中 的 Explorer 键 , 记 录 其 "数据 ?下 的 文件 路 径 , 将 Explorer 键 删除 ,然后 再 将 其 对 应 的 
文件 删除 。 
重新 启动 Windows, 发 现在 任务 管理 器 又 出 现 了 Esplorer 进程 ,再 次 结束 该 进程 ,系统 
提示 “无 法 中 止 进程 ”, 如 图 5-35 所 示 。 


x 
无 法 完成 操作 ， 
拒绝 访问 。 


图 5-34 “QQ 杀手 ”的 捆绑 图 5-35 无 法 中 止 进程 


执行 “开始 ”| 搜索 "命令 ,输入 关键 字 Esplorer. exe, 又 可 以 找到 该 文件 。 原 来 QQ A 
手 在 系统 中 还 安插 了 自 恢复 程序 ,其 存放 位 置 不 再 是 C:\Windows\system32、C:\Windows 
等 常见 目录 下 ,而且 这 些 恢 复 程序 的 文件 名 是 随机 产生 的 ,一 旦 其 中 的 一 个 被 清除 ,其 他 的 
立刻 进行 恢复 。 这 样 只 能 通过 工具 软件 如 Trojan Remover, QQ 杀手 专 杀 工具 等 进行 删除 。 
图 5-36 所 示 的 QQ 杀手 自 恢 复 程序 存放 在 回收 站 中 。 


Trojan Remover - Alert ={5) xj 


The Windows Registry attempts to run this program at boot time: 
D:\Recycled\nziP EXE 


QQ 杀手 居然 连 
q 回收 站 也 不 放 过 Joie 


et\Services\gDTGDxg 


FILE APPEARS TO CONTAIN A TROJAN HORSE 
Appears to contain: QQSpy 6.75 


医 Required Action- 


© Continue to allow this program to load as normal 
C Prevent this program from running by removing its reference 
© Prevent this program from running, and rename the program file 


Q Datas | 图 sopscn | _ Atte | 
图 5-36 ”存放 在 回收 站 中 的 QQ 杀手 自 恢 复 程 序 


5. QQ 密码 防盗 

要 避免 QQ 账号 被 盗 ,必须 做 到 以 下 几 点 。 

。 不 随意 上 不 明 网 站 .不 接受 不 明 信 息 来 源 的 文件 ,防止 木马 入 侵 计 算 机 。 

。 为 QQ 账号 申请 第 二 代 密 码 保护 ,如 绑 定 密 保 手机 / 密 保 卡 /手机 令 牌 .设置 密 保 问 
题 等 。 

。 在 登录 QQ 时 ,如 果 系 统 提醒 账号 出 现 异 常 ,要 立刻 修改 密码 。 

。 使 用 复杂 密码 、 定 期 修改 ,避免 在 其 他 网 站 透露 QQ 密码 。 
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。 提高 其 他 方面 的 安全 意识 ,如 更 新 操作 系统 补丁 .安装 杀毒 软件 并 及 时 更 新 病毒 库 、 
定期 查 杀 病毒 等 。 
1) 第 二 代 密 码 保护 
为 防止 QQ 密码 被 盗 , 可 以 在 QQ 官方 网 站 上 申请 第 二 代 密 码 保护 。 
进入 QQ 安全 中 心 , 单 击 “ 安 全 服务 ”标签 下 的 “我 的 安全 服务 ”, 可 以 选择 一 种 密 保 手 
段 , 如 图 5-37 所 示 。 


首页 密 保 管理 安全 服务 修改 密码 REER 


我 的 安全 服务 FEEN 。 安全 体检 。 提升 安全 级 别 


设置 安全 服务 


修 需 要 先 设置 以 下 一 种 密 保 手段 ， 才 能 设置 安全 服务 ， 请 选择 密 保 手段 : 


© 密 保 手 机 (推荐 ) 

携带 方便 ,可 随时 随地 修改 QQ 密码 ,确保 账号 安全 
O 手机 令 牌 

使 用 免费 ,比较 适合 游戏 用 户 使 用 ( 需 手 机 支持 Java) 
O ERE 

使 用 免费 ,比较 适合 游戏 用 户 使 用 。 


开始 设置 


5-37 第 二 代 密 码 保 护 


在 用 户 进行 敏感 操作 (如 消费 Q 币 Q 点 购买 或 赠送 物品 .登录 QQ 或 者 登录 游戏 客户 
端 ) 时 ,通过 手机 、 密 保 卡 .手机 令 牌 等 第 二 代 密 保 手段 回答 二 代 密 保 资 料 ,验证 用 户 身份 ,可 
以 达到 保障 账户 安全 的 目的 。 

2) 安全 体检 

单 击 “ 安 全 服务 ”标签 下 的 “安全 体检 ”, 可 以 动态 检测 账号 当前 的 安全 风险 。 从 如 图 5-38 
所 示 的 体检 结果 中 掌握 QQ 账号 的 最 新 安全 情况 ,并 及 时 清除 风险 ,可 以 保持 账号 良好 的 安 
全 状态 。 

如 果 安 全 级 别 为 低 或 者 中 , 单 击 “ 提 升 安 全 级 KS: 雪中送炭 1 
别 " 按 钮 ,根据 页 面 的 提示 进行 操作 , QQ 账号 将 SEER 人 
会 受到 更 加 全 面 的 保护 ,安全 级 别 也 会 得 到 相应 


的 提升 。 OER: 回 无 异常 
3) QQ 医生 您 的 账号 目前 没有 异 和 党 
2006 年 12 月 6 日 QQ 医生 1.0 诞生 ,专门 © smee 


您 的 客 码 比较 复杂 ,安全 性 较 高 。 


FA QQ 盗号 木马 ,更 好 地 保障 用 户 的 QQ 账号 
安全 。2009 年 7 月 15 日 QQ 医生 3.0 推出 ,如 
图 5-39 所 示 ,新 增 在 线 查 杀 流 行 木马 .修复 IE 功 
能 、 网 页 防火 墙 、 清 理 磁 盘 和 注册 表 垃 圾 等 功能 ， AE 

功能 模块 几乎 同 360 安全 卫士 一 样 ,为 用 户 提供 

全 面 的 计算 机 安全 保障 。 图 5-38 ”安全 体检 


© 业务 安全 
您 所 使 用 的 QQ 业务 目前 不 存在 成 险 。 
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安全 资讯 
， 微软 发 布 10 月 安全 补丁 ， 共 13 个 4 
PERMITE MARES» Ri Ree. thi EE 行 。 ， 投票 : 你 常用 哪些 流量 监控 功能 ? 
， QQ 医生 3.06eta2 正 式 发 布 
， 高 手 推 荐 的 网 络 安 全 防范 策略 
， QQ 医生 教 你 轻松 忧 化 网 素 
， 警惕 聊天 工具 中 的 五 种 新 型 网 络 诈 骗 


系统 体检 设置 : 关闭 自动 体检 


"避免 QQ 帐号 被 盗 的 三 个 忠 此 
， 安全 上 网 牢记 五 个 习惯 20 条 守则 


新 功能 推荐 

自动 监控 网 络 开始 监控 
网 络 流量 一 智能 防护 全 新 升级 ， 拦 截 
危险 程序 访问 网 络 ， 更 安全 、 更 流畅 9 


图 5-39 QQ 医生 


5.3.2 网 络 通信 软件 消息 炸弹 

QQ 消息 炸弹 攻击 是 指使 用 工具 软件 向 别人 不 断 发 送 垃圾 信息 ,导致 对 方 无 法 正常 使 
用 QQ, 最 常用 的 工具 是 “ 标 叶 千夫 指 ”。 

1，QQ 消息 炸弹 攻击 

使 用 * 款 叶 千 夫 指 ”之 前 先 启动 QQ ,选择 要 攻击 的 对 象 , 进 入 “聊天 模式 ”, 然 后 启动 “ 际 
叶 千 夫 指 ”, 如 图 5-40 所 示 。 


-SHREKA 


Baz 
å (TT | g #8 
PF = AR fet) | 


PORTER EP, ATTRA OH oh. AEDES ARE? v) 


指责 语句 ; 


每 名 间隔 时 间 : 10 自动 循环 变换 语句 ,从 第 1 。 句 至 第 10 A 


[x ži) [x 停止 8] ] [+ 编辑 [E] | Le 帮助 四 ] 


IP: EEE 


图 5-40 “ 飘 叶 千夫 指 " 程 序 界面 
在 “指责 语句 ”中 设置 要 骏 炸 的 话 , 单 击发 送 ” 按 钮 ,对方 的 QQ 就 会 不 断 弹出 消息 。 
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如 果 知 道 对 方 的 IP 地 址 ,只 要 在 IP 地 址 的 文本 框 中 输入 该 地 址 ,然后 单 击 “指责 
WIN2K? 按 钮 ,如 果 对 方 的 操作 系统 是 Windows 2000/XP, 即 使 对 方 关闭 QQ, 也 会 不 断 收 
到 QQ KEI HI KE 

2. QQ 消息 炸弹 预防 


受到 QQ 消息 炸弹 攻击 后 ,首先 应 该 考虑 升级 QQ 到 最 新 版 本 ,然后 将 对 方 加 到 QQ 的 
黑 名 单 中 就 可 以 预防 。 

对 付 “ 飘 叶 千 夫 指 "QQ 消息 发 送 的 炸弹 还 有 一 个 特别 的 方法 : 启动 QQ , 右 击 系统 托盘 
的 QQ 图 标 ,选择 “个 人 设 定 ”, 在 弹出 的 “修改 用 户 资料 ”对话 框 中 选择 “基本 资料 ”页 ,在 “用 
户 昵称 ?前 加 上 275297 ,在 “联系 方式 ”页 中 将 E-mail 也 设置 为 275297 ,如 图 5-41 所 示 。 


EE 
电子 邮件 : [275297 PENE 
联系 地 址 : |- 


以 上 资料 
个 完全 公开 CRERAL © 完全 保密 


修改 关闭 


图 5-41 “ 飘 叶 千夫 指 ” 程 序 后 门 


设置 完成 后 ,如 果 别 人 用 “ 飘 叶 千夫 指 " 向 你 发 消息 ,他 的 计算 机 就 会 立刻 重新 启动 。 因 
为 275297 是 “ 飘 叶 千夫 指 ” 作 者 的 QQ 号 码 , 他 留 下 这 个 后 门 ,是 不 希望 别人 用 他 设计 的 软 
件 对 他 进行 攻击 。 

对 于 通过 Windows 发 送 过 来 的 炸弹 ,必须 关闭 Windows 2000/XP 的 信使 服务 才能 预 
防 。 执 行 “ 开 始 ”|* 设 置 ?| 控制 面板 "| 管理 工具 ”| 服务 ”命令 ,如 图 5-42 所 示 。 


XED BEO SEW 帮助 四 
+ >| Se ARB\@a\> =i» 
RR s IBS (本 地 ) 


Messenger 


描述 : 

传输 客户 端 和 服务 器 之 间 的 NET 
SEND 和 Alerter kel ie 此 

35 Windows ea 

如 果 服务 1 erter 消息 不 会 Jj 

被 传输 。 ERS. 任何 直 

ERAT HRSS ETEB 


\P RARE 


图 5-42 服务 窗口 
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双击 Messenger 条 目 ,在 出 现 的 “Messenger 的 属性 ?对 话 框 中 选择 “启动 类 型 为 “已 禁 


用 ”, 如 图 5-43 所 示 。 


Messenger 的 属性 (本 地 和 计算机) 
BA ER le | 依存 关系 | 
服务 名 称 Messenger 


可 执行 文件 的 路 径 OO 


Barston, Messenger 


描述 四 夸 辆 者 户主 和 服务 器 之 问 的 NET SEND 和 


(C:\WINDOWS\ syst em32\svchost. exe -k netsves 


a0 a S| 


服务 状态 : 


gab 


ees y 


当 从 此 处 启动 服务 时 ,您 可 指定 所 适用 的 局 动 参数 。 


图 5-43 ”禁用 信使 服务 


5.3.3 ”偷窃 网 络 通信 和 软件 记录 


1. 用 LookMess 偷 看 QQ 聊天 记录 


LookMess 并 不 能 破解 QQ 密码 ,但 是 它 可 以 在 没有 正确 密码 的 情况 下 启动 QQ, 从 而 


看 到 聊天 记录 。 


运行 LookMess,“ 在 QQ 登录 号 码 ” 列 表 框 中 会 列 出 若干 个 QQ 号 码 ,如 图 5-44 所 示 。 
选择 其 中 之 一 并 单 击 “ 修 改 密码 "按钮 ,弹出 如 图 5-45 所 示 的 对 话 框 。 


99 和 登录 号 码 修改 专家 1.2% 一 [X 


BRS | 


9 安装 目录 : [rW 浏览 
ERS. = 
i ih 


添加 


共有 1 个 号 码 修改 密码 不 能 还 原 


图 5-44 LookMess 窗口 


QQ 登录 号 码 修改 专家 


5-45 ”修改 密码 成 功 
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单 击 OK 按钮 ,就 可 以 用 密码 000000 进行 本 地 登录 QQ ,查看 聊天 记录 了 。 
2. 预防 聊天 记录 被 偷 看 


如 果 在 公共 机 房 使 用 QQ, 为 防止 别人 偷 看 ,每 次 离开 之 前 要 删除 QQ 安装 目录 下 的 个 
人 文件 夹 , 如 果 QQ 号 码 是 123456, 则 QQ 安装 目录 中 就 会 有 一 个 名 称 为 123456 WAR, 
按 Shift 键 将 其 删除 即 可 。 

也 可 以 使 用 QQ 消息 加 密 功 能 。 在 QQ 菜单 中 选择 “系统 参数 ”, 在 “QQ 参数 设置 "对 
话 框 中 单 击 “ 安 全 设置 ”页 ,选中 “启用 本 地 消息 加 密 ” 复 选 框 ,并 输入 口令 ,如 图 5-46 所 示 。 


& QQ 委 数 设置 


基数 设置 安全 设置 修改 

回复 设置 本 地 消息 口令 

网 络 设置 厂 启用 本 地 消息 加 密 

声音 设置 o$: 确认 
) 安全 设置 通讯 模式 选择 

登录 设置 C 通过 服务 器 模式 与 好 友 交 换 信息 

好 友 设 定 G 通过 点 对 点 模式 与 好 友 六 扫 信息 

B 动 更 新 设置 有 BB 

传输 文件 设置 F Bate Mme 
提示 问题 
问题 答案 


确定 取消 


5-46 QQ 加 密 功 能 的 实现 


5.4 网 络 购物 安全 防范 


作为 一 种 新 型 消费 方式 ,网 络 购物 逐渐 流行 , 随 之 而 来 的 网 络 诈骗 也 花样 百出 ,网 络 购 
物 类 诈骗 案件 呈现 明显 猛 增 态 势 。 

目前 常见 的 网 络 购物 类 诈骗 犯罪 通常 有 以 下 4 种 。 

(1) 行 骗 人 建立 自己 的 电子 商务 网 站 ,或 是 通过 比较 知名 、 大 型 的 电子 商务 网 站 发 布 虚 
假 的 商品 销售 信息 ,以 所 谓 的 “ 超 低 价 ”“ 走 私 货 *“ 免 税 货 ”"“ 违 禁 品 ” 等 名 义 出 售 产 品 , 使 
一 些 人 因 低 价 诱惑 或 好 奇 而 上 当 ; 

(2) 行 骗 人 在 普通 网 站 上 设置 六 合 彩 赌博 网 站 或 淫秽 色情 网 站 链接 ,引诱 网 民 点 击 进 
入 ,骗取 注册 费 ， 

(3) 行 骗 人 发 布 中 奖 信息 ,使 一 些 爱 贪小 便宜 或 有 好 奇 心态 的 网 民 上 当 ; 

(4) 行 骗 人 在 收 到 货款 后 , 寄 出 的 货物 价值 远 远 低 于 消费 者 所 购买 的 货物 ,有 的 甚至 只 
邮寄 一 个 空 盒 ,将 责任 推 给 物流 公司 或 邮局 。 


5.4.1 预防 网 络 购物 诈骗 


以 下 6 大 安全 防范 守则 ,可 以 有 效 预防 在 网 上 竞拍 及 购物 时 被 骗 ,识别 网 络 购物 中 隐蔽 
的 陷阱 。 
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(1) 对 所 购买 的 物品 有 所 了 解 ,包括 目前 市 场 的 价格 。 

“一 分 钱 , 一 分 货 ”“ 便 宜 没 好 货 ”, 如 果 卖 家 所 出 价格 远 远 低 于 市 场 价 格 , 而 且 交 货 期 限 
又 很 短 ,就 应 提高 警惕 ,不 要 贪小 便宜 .被 超 低 价格 迷惑 。 

(2) 核实 网 络 卖家 留 下 的 信息 。 

如 果 卖 家 的 联系 方式 只 有 QQ 号 码 .电子 邮箱 .手机 号 码 , 而 没有 固定 地 址 和 对 应 的 固 
定 电话 时 ,不 要 轻易 交易 ; 仔细 甄别 网 络 卖家 留 下 的 电话 号 码 与 地 址 是 否 一 致 ,初步 判断 是 
否 为 诈骗 信息 ;， 利用 网 上 搜索 引擎 ,查询 供 货 信息 中 的 联系 电话 、 联 系 人 、 公 司 名 称 、 银 行 账 
号 等 关键 信息 是 否 一 致 。 

(3) 尽量 去 大 型 .知名 、 有 信用 制度 和 安全 保障 的 购物 网 站 购买 所 需 的 物品 , 先 货 后 款 。 

目前 正规 大 型 购物 网 站 的 支付 形式 基本 采用 “第 三 方 监管 货款 ”的 原则 , 买 家 将 钱 划 到 
网 络 交易 平台 提供 的 第 三 方 账户 , 买 家 收 到 货 后 向 第 三 方 确认 ,第 三 方 再 将 货款 转 给 卖家 ， 
步 又 如 下 。 

D 买 家 收 到 货 并 确认 无 误 后 ,进入 网 络 交易 平台 ,如 图 5-47 所 示 。 


订单 编号 : 2502597088 成 交 时 间 : 2009-10-09 08:48 m 
NICI 专柜 正品 从 林 朋 友 系列 242.00 1 ER - @BtERE ” 卖家 已 发 货 239.04 
$ SOCAR ENE LE] 专营 店 ve ( 卖家 包 邮 ) 
23408 区 J eee RURE 查看 物流 
Jos: SOREL aa ü 


A 5-47 交易 平台 
© 单 击 “ 确 认 收 货 ” 按 钮 ,交易 平台 再 次 提醒 ,如 图 5-48 所 示 。 


。 请 收 到 货 后 ， 再 确认 收 货 ! 否则 您 可 能 钱 货 两 空 ! 
。 如 果 您 想 申 请 退 款 ， 请 点 击 这 里 


请 输入 支付 宝 账户 支付 密码 k, [| 请 输入 正确 的 支付 密码 。 


WE 找 回 支付 密码 


图 5-48 MEE 
@ 确定 无 误 后 .输入 密码 , 单 击 “ 确 定 ” 按 钮 .交易 平台 再 次 提醒 ,如 图 5-49 所 示 。 


Microsoft Internet Explorer 


?2 ) 点 击 确定 之 后 ,您 之 前 付款 | 支付 宝 的 242. 00 元 棕 直 接 到 卖家 账户 里 ， 请 务必 收 到 货 再 确认 ! 


图 5-49 系统 再 次 提醒 


@ 单 击 “ 确 定 ” 按 钮 ,货款 划 转 到 卖方 ,如 图 5-50 所 示 。 

(4) 收 到 货物 后 当面 验 货 。 

收 到 货物 后 应 当 着 邮局 工作 人 员 或 是 快递 公司 的 人 立即 验 货 , 如 果 发 现货 物 有 问题 要 
迅速 与 卖方 联系 。 

(5) 并 慎 对 待 卖方 交付 定金 的 要 求 。 

在 网 络 购物 过 程 中 ,一 些 诈骗 分 子 要 求 消费 者 先 交 部 分 定金 , 货 到 后 再 付 全 款 , 当 消 费 
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ZARI! 


© 变易 已 经 成 功 ! 卖家 MGi 将 立即 收 到 您 支付 的 货款 。 
您 购买 的 是 “消费 者 保障 服务 ”宝贝 ， 已 获得 他 三 保障 卡 ， 可 在 “已 买 到 的 宝贝 ”中 查看 ， 在 确认 收 
货 后 的 14 天 内 出 现 与 交易 商品 相关 的 问题 ， 可 以 点 击 “ 保 障 卡 ”发 起 消 保 损 诉 淘宝 将 帮助 您 向 卖家 提 
出 赔付 申请 ， 优 先 保障 您 的 利益 。 保障 卡 使 用 说 明 >> 
BHAT O 


如 果 您 想 即时 了 解 账户 余额 和 实 全 信息 变更 ， 可 以 订 制 您 的 短信 提醒 服务 内 容 。 点 此 订 制 


图 5-50 ”货款 成 功 划 转 


者 汇 出 第 一 笔 款 后 , 行 骗 人 会 以 种 种 借口 (如 货 已 运 到 消费 者 所 在 城市 ,要 支付 风险 金 、 押 
金 . 税 款 等 费用 ) ,要 求 消费 者 再 汇 余 款 ,否则 不 交 货 也 不 退 款 ,一 些 受害 人 迫 于 第 一 笔 款 已 
汇 出 ,只 好 抱 着 侥幸 心理 继续 汇款 ,而 行 骗 人 也 会 变换 借口 一 骗 再 骗 。 

(6) 使 用 单独 的 计算 机 进行 交易 。 

尽量 不 要 使 用 公用 的 计算 机 进行 购物 ,支付 等 操作 ,更 不 要 轻易 地 将 自己 的 网 络 账号 、 
信用 卡 账 号 和 密码 泄露 给 陌生 人 。 


5.4.2 防止 Cookie 泄露 个 人 信息 


Cookie 是 当 浏 览 某 网 站 时 ,Web 服务 器 发 送 到 计算 机 中 的 数据 文件 , 它 记 录 了 诸如 用 
户 名 、 密 码 和 关于 用 户 兴趣 取向 的 信息 。 而 且 , 很 多 Cookie 文件 中 的 用 户 名 和 密码 甚至 是 
以 明文 方式 存放 的 ,这 样 就 更 不 安全 了 。 因 此 ,删除 Cookie 文件 很 有 必要 。 

1, 通过 Internet 选项 设置 

(1) 在 浏览 器 中 执行 “工具 ”| “Internet 选项 命令 ,出现 如 图 5-51 所 示 的 “Internet 选 
项 ”对 话 框 。 

Internet 选项 


eA | 安全 | 隐私 ins | 连接 | 程序 | 高 级 
主页 

可 以 更 改 主页 。 

Wio: e 


[人 用 当前 页 © ] [使 用 默认 页 N ) [使 用 空白 页 @) 


Internet 临时 文件 
z 查 : Ini 页 存储 在 特定 的 文件 夹 中 ， 这样 可 以 
会 Siti 


(HAR Cookies.) ereo.) (BES. 


历史 记录 
ia “History” MARPAS ACS MAE » AER PR 
速 访问 最 近 查 者 过 的 页 。 


同 页 保存 在 历史 记录 中 的 天 数 K: 20 >) | 清除 历史 记录 CO 


(seo... (F#0... ] [ 语言， | 随 屿 功能 四 ] 


(Cia) mma 
图 5-51 “Internet 选项 ”对 话 框 
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(2) 单 击 “ 删 除 Cookies” 44H ,将 计算 机 中 保存 的 Cookie 文件 删除 。 
G) 单 击 “ 隐 私 " 标 签 ,在 如 图 5-52 所 示 的 对 话 框 中 拖 动 滑 杆 , 进 行 “ 阻 止 所 有 Cookie”, 
“高 >"“ 中 高 >“ 中 ?“ 低 >“ 接 受 所 有 Cookie”6 个 级 别 的 设置 。 


Internet 选项 


阻止 没有 会 同 隐私 策略 的 第 = 方 cookie _ 
ESHT ARTERE B MIARE SET 


a= a i 


mao...) eao...) (aw...) 


弹出 窗口 阻止 程序 
阻止 显示 大 多 数 弹出 窗口 。 


回 阻止 漳 出 窗 吕 @) 


图 5-52 阻止 Cookie 设置 


(4) 单 击 下 方 的 “站 点 ”按钮 ,出 现 如 图 5-53 所 示 的 “每 站 点 的 隐私 操作 ”对 话 框 ,在 “网 
站 地 址 ”中 输入 特定 的 网 址 ,将 其 设 定 为 允许 或 拒绝 使 用 Cookie。 


每 站 点 的 隐私 探 作 
管理 站 点 
等 GUE EEE Ssh d] cookies MAS 
准确 输入 您 要 管理 的 网 站 的 地 址 ， 然 后 单 击 “ 区 许 ” 或 “拒绝 ”。 


tae SEED SL kin, ， 选择 网 站 的 名 称 ， HERH “M 


网 站 地 址 W): 
l i638 ©) 
允许 Ww) 


5-53 ”对 每 个 站 点 设置 是 否 运行 Cookie 


2. 通过 注册 表 设 置 
(1) 执行 “开始 ”|* 和 运行 ?命令 ,出 现 如 图 5-54 所 示 的 对 话 框 。 


288 信息 对 抗 与 网 络 安全 (第 2 版 ) 


qE FONET KUR, ZER Internet WIRDE 


Wo Windows HABA E. 


打开 @) 


图 5-54 “运行 "对 话 框 
(2) 输入 regedit 命令 , 单 击 “ 确 定 ” 按 钮 ,出 现 “ 注 册 表 编辑 器 ”窗口 ,如 图 5-55 所 示 。 
回回 可 


XPO 编辑 E) SEW REG 帮助 
=: SEM 名 称 
困 (C HKEY_CLASSES_ROOT 
由 国 HKEY _CURRENT_USER 
由 国 HKEY LOCAL MACHINE 
由 国 HKEY USERS 
由 国 HKEY_CURRENT_CONFIG 


5-55 “注册 表 编 辑 器 ”窗口 


(3) 依次 展开 HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ 
CurrentVersion\Internet Settings\Cache\ Special Paths\ Cookies, 47 i? Cookies 文件 来, 在 
弹出 的 快捷 菜单 中 执行 “删除 ”命令 ,如 图 5-56 所 示 。 


RHE) MAD SEW KERA HHW 
C AllowedBehaviors A|| 名 称 数据 
E AlowedDragImageExts 国 eu GERERE 
由 国 AloweddragFrotocols | Ri)CacheLimit 00 04 00 om 
= (A Cache [ab]CachePrefix Cookie 


@ Paths ab)Directory WUSERPROFILEX\Cookie:| 
E Special Paths | 


pa] cock: pa - 
C misto e 
BE Last Update HEW » 
GQ Lockdown Zor BYE). 
E Passport 
Gisatesites MW 
E Secure Mine) EAZ &) 
# @ so 
= C soreax SED 
E Subscription PMO 
EE TenplstePoli 。 复制 项 名 称 吕 ) 
GQ wa History 
由 @ User Agent 


EAN FBR \HKEY_LOCAL_MACHINE\SOFT#ARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\S: 


5-56 ”删除 Cookie 
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需要 提醒 的 是 ,如 果 拒绝 接受 Cookie, 可 能 无 法 使 用 依赖 于 Cookie 的 网 站 的 部 分 功能 ， 
如 有 些 论坛 要 求 打 开 Cookie 功能 ,如 果 不 打 开 则 不 能 正常 访问 。 


CONDO FSF WH 


习 题 
.如 何 防范 E-mail 口令 攻击 和 炸弹 攻击 ? 
. 垃圾 邮件 有 哪些 危害 ? 
= 如 何 防范 垃圾 邮件 ? 
.如 何 防范 IE 攻击 ? 


什么 是 网 络 钓鱼 ?如 何 防范 ? 


. 如 何 防 范 网 络 通信 软件 密码 盗 取 ? 
. 如 何 防 范 网 络 购物 诈骗 ? 
.如 何 删除 Cookie? 


读者 意见 反馈 


亲爱 的 读者 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教 
材 ， 请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 改 
进 。 同 时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 什么 好 的 建议 ,也 请 您 来 


信 告诉 我 们 。 
地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 ” 计 算 机 与 信息 分 社 营销 室 ” 收 
邮编 : 100084 电子 邮件 : jsjjc@tup. tsinghua. edu. cn 


电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


BUA: 信息 对 抗 与 网 络 安全 COB 2 版) 
ISBN 978-7-302-22051-0 


个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 
文化 程度 ， 通信 地 址 : 

联系 电话 : 电子 信箱 : 

您 使 用 本 书 是 作为 : 口 指定 教材 口 选用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封面 设计 的 满意 度 : 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 的 总 体 满意 度 : 


从 语言 质量 角度 看 ” 口 很 满意 OWE 口 一 般 口 不 满意 
从 科技 含量 角度 看 ” 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
指导 明确 口内 容 充实 口 讲解 详尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ? (可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? (可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 以 与 
我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ) ， 和 希望 有 助 于 教学 
活动 的 开展 。 相 关 信息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 jsjjc@tup. tsinghua. edu. cn 
咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www. tup. com. cn 或 http://www. tup. tsinghua. 
edu. cn) 上 查询 。 


